Jak obsługiwać wrażliwe dane geograficzne?

Codziennie korzystasz z wrażliwych danych geograficznych. Jakie są twoje strategie ochrony ich w twoich systemach informacji geograficznej?

Jakiej architektury używasz?

Jakiej metody szyfrowania używasz?

Co robisz dla użytkowników, którzy eksportują poufne dane z twoich baz danych?

Dzięki geoprzestrzennej bazie danych dla wielu użytkowników możesz wdrożyć zabezpieczenia na poziomie wiersza (RLS). Możesz to zrobić za pomocą PostgreSQL (i PostGIS), Oracle i MS SQL Server i prawdopodobnie innych. Widziałem to zaimplementowane do poziomów QGIS i SDE. RLS wdraża uprawnienia do wierszy (funkcje GIS), które poszczególni użytkownicy lub grupy użytkowników mogą wybierać / aktualizować / usuwać.

Na przykład użytkownik „bob” może zalogować się do geoprzestrzennej bazy danych przy użyciu szyfrowanego połączenia i pobrać warstwę GIS pokazującą tylko funkcje, które jest uprawniony do przeglądania i edycji. Podczas gdy użytkownik „pozywa” może załadować tę samą warstwę GIS i zobaczyć inny widok funkcji GIS, jest uprawniona do przeglądania i edycji.

Czasami zarządzam danymi wrażliwymi, których nie można podzielić na części publiczne i prywatne, jak w mojej innej preferowanej odpowiedzi, ponieważ geometria to wszystko zdradza. Dobrymi przykładami są gniazda ptaków drapieżnych (pisklęta sokoła wędrownego osiągają świetne ceny na czarnym rynku) i lizawki solne (po co męczyć się i nędznie polować, skoro mogę po prostu usiąść i poczekać, aż ofiara sama wejdzie w moje widoki?).

W tym przypadku nasze strategie polegają na sfałszowaniu danych: buforuj punkty za pomocą dużych jednostek i losowego przesunięcia lub środka ciężkości, wyświetlaj lub udostępniaj tylko mapy, a nie surowe dane. Czasami upuszczamy geometrię punktu i łączymy atrybuty z większym wielokątem macierzystym, np. „Gdzieś w wielokącie ograniczonym przez te 2 rzeki i na tej autostradzie jest lizawka solna” i to jest wspólne dla jednostki.

Mam odpowiedź poza pasmem: po prostu robię wszystko, aby nie przetwarzać wrażliwych danych, jeśli mogę w ogóle pomóc.

Okej, więc na twarzy, jeśli nie jest to bardzo pomocna odpowiedź. Zróbmy to bardziej. Dowiedziałem się, że przez większość czasu klienci przychodzą do mnie i mówią, że muszą chronić dane tak, że staranne badanie ich danych i celów ujawni, że nie ma tyle ochrony, ile początkowo sądzono . Czasami prawdziwie prywatne rzeczy można rozdzielić bez większych problemów. Przechowujesz tam tabelę dat urodzin i adresów domowych w prywatnym systemie plików. Zachowam geometrię tutaj w udostępnionej przestrzeni dla grup roboczych i możesz do nich dołączyć w razie potrzeby za pomocą tej kolumny identyfikatora.

Podstawową zasadą jest: utrzymywanie odpowiedzialności za zarządzanie bezpieczeństwem jak najbliżej źródła, do domu, jak to możliwe.

W ten sposób, mimo że mogę zarządzać danymi przestrzennymi, właściwie nic o tym nie wiem, a zatem nigdy nie będę wektorem potencjalnej ekspozycji. Myślę, że jest to podobne do podstawowego protokołu bezpieczeństwa komputera, że ​​sysadmin może zresetować hasło lub zablokować konto, ale nie może go odczytać.

Używam postgresql z funkcjami Postgis .

Dane mogą być szyfrowane i dostępne za pośrednictwem kont użytkowników z wyraźnymi uprawnieniami do bazy danych; tzn. superużytkownik a nieuprzywilejowany.

Żądania danych mogą być obsługiwane za pomocą prostych lub złożonych zapytań SQL dla tych podzbiorów, a odpowiednie dane są dystrybuowane przy jednoczesnej ochronie poufnych informacji (nie do dystrybucji).

Obsługuje działanie w zamkniętej sieci LAN lub środowisku w pełni sieciowym i ze środowiskiem dla wielu użytkowników lub bez niego.

Istnieje oczywiście kilka innych RDBMS , ale postgresql jest oprogramowaniem typu open source.

Strategie te obowiązują w kilku firmach, które znam

1. Zezwalaj na dostęp do źródeł danych tylko w obszarze zainteresowania bieżącego projektu
2. Korzystaj z usług WEB, takich jak WMS i WFS, zamiast bezpośredniego dostępu do danych plików i baz danych
3. Wszyscy użytkownicy pracują na serwerze terminali z ograniczonym dostępem do zasobów sieciowych

Istnieje interesujący artykuł opisujący i oceniający kilka podejść do ochrony prywatności:

MP Armstrong, Rushton G, Zimmerman DL. Geograficzne maskowanie danych zdrowotnych w celu zachowania poufności . Stat Med. 1999; 18: 497–525.

( Pełny tekst )

Mimo że koncentruje się na danych związanych ze zdrowiem, wiele omawianych podejść może być istotnych w innych dyscyplinach.

National Research Council. Umieszczanie ludzi na mapie: ochrona poufności dzięki powiązanym danym społeczno-przestrzennym . Waszyngton, DC: The National Academies Press, 2007.

( Pełny tekst )

Kolejny dobry wszechstronny materiał omawiający teoretyczne, etyczne, a także technologiczne aspekty danych przestrzennych związanych ze zdrowiem.

Aby zapoznać się z dużym zbiorem artykułów omawiających metody i implikacje postępowania z wrażliwymi danymi przestrzennymi, zobacz stronę SEDAC na temat wybranych dokumentów dotyczących poufności i danych geoprzestrzennych .