Як обробити чутливі географічні дані?

Ви використовуєте чутливі географічні дані щодня. Які ваші стратегії захисту їх у ваших географічних інформаційних системах?

Яку архітектуру ви використовуєте?

Який метод шифрування ви використовуєте?

Що ви робите для користувачів, які експортують конфіденційні дані з ваших баз даних?

За допомогою геопросторової бази даних для багатьох користувачів можна реалізувати безпеку рівня рядків (RLS). Це можна зробити за допомогою PostgreSQL (та PostGIS), Oracle та MS SQL Server та, ймовірно, інших. Я бачив, як він реалізований до рівня QGIS та SDE. Що RLS робить, це реалізувати привілеї в рядках (функції GIS), які окремі користувачі або групи користувачів можуть вибрати / оновити / видалити.

Наприклад, користувач "bob" може увійти в геопросторову базу даних за допомогою зашифрованого з'єднання та витягнути шар GIS, показуючи лише ті функції, які він має право переглядати та редагувати. Хоча користувач "може подати позов" може завантажувати один і той же GIS-шар і бачити інший вигляд функцій GIS, вона має право переглядати та редагувати.

Іноді я управляю конфіденційними даними, і їх не можна розділити на публічні та приватні біти, як у моїх перевагах іншій відповіді, оскільки геометрія дає все це. Хорошими прикладами є гнізда-грабіжники (пташенята сокола-сокола приносять чудові ціни на чорному ринку) та соляні лишайники (навіщо отримувати все холодне та жалюгідне полювання, якщо я можу просто сидіти і чекати здобич, щоб за власним бажанням прогулятися зі своїми пам’ятками?).

У нашому випадку наші стратегії полягають у тому, щоб нечітко відображати дані: буферизувати точки за допомогою великих одиниць та випадкового зміщення або центроїда, показувати та ділитись лише картами, а не необробленими даними. Іноді ми опускаємо геометрію точок і з'єднуємо атрибути з більшим батьківським багатокутником, наприклад, "десь в межах багатокутника, обмеженого цими двома річками, і на цьому шосе є соляна лиза", і це те, що ділиться поза одиницею.

У мене є поза межами діапазону відповідь: просто я виходжу з себе, щоб не обробляти конфіденційні дані, якщо я взагалі можу в цьому допомогти.

Гаразд, так на обличчі, якщо це не дуже корисна відповідь. Давайте зробимо це ще більше. Я дізнався, що дуже багато часу, коли клієнти приходять до мене і кажуть, що їм потрібно захищати дані такі-n-такі, що ретельне вивчення їхніх даних та цілей виявить, що захищати не так багато, як вважалося спочатку . Іноді справді приватні речі можна розділити без особливих проблем. Ви зберігаєте цю таблицю днів народження та домашню адресу там, у вашій приватній файловій системі. Я збережу геометрію тут у спільному просторі робочої групи, і ви можете приєднатись до них за потреби, використовуючи цей стовпчик ідентифікаторів.

Основний принцип: тримати відповідальність за управління безпекою якомога ближче до джерела, додому.

Таким чином, навіть якщо я можу керувати просторовими даними, я фактично нічого не знаю про це, і тому ніколи не можу бути вектором для його потенційного впливу. Я вважаю це схожим на базовий протокол захисту комп'ютера, що системний адміністратор може скинути ваш пароль або заблокувати обліковий запис, але насправді не читати його.

Я використовую postgresql з можливостями postgis .

Дані можуть бути зашифровані та отримати доступ через облікові записи користувачів із явними дозволами бази даних; тобто супер-користувач проти непривілейованих.

Запити даних можуть бути оброблені простими або складними SQL запитами до них підмножинами, а релевент поширюється, захищаючи конфіденційну (нерозповсюджувану) інформацію.

Він підтримує роботу в закритій локальній мережі або повністю мережевому середовищі і з багатокористувацьким середовищем або без нього.

Звичайно, є кілька інших RDBMS , але postgresql є відкритим кодом.

Ці стратегії застосовуються в кількох компаніях, яких я знаю

1. Дозволити доступ до джерел даних лише у зоні, що цікавить поточний проект
2. Використовуйте веб-сервіси на зразок WMS та WFS замість прямого доступу до файлових даних та баз даних
3. Усі користувачі працюють на сервері терміналів з обмеженим доступом до мережевих ресурсів

Є цікава стаття, що описує та оцінює декілька підходів до захисту конфіденційності:

Депутат Армстронг, Раштон Г, Циммерман DL. Географічне маскування даних про здоров’я для збереження конфіденційності . Stat Med.1999; 18: 497–525.

( Повний текст )

Хоча основна увага приділяється даним, пов'язаним зі здоров’ям, багато обговорених підходів можуть бути актуальними в інших дисциплінах.

Національна наукова рада. Розміщення людей на карті: захист конфіденційності за допомогою пов'язаних соціально-просторових даних . Вашингтон, округ Колумбія: Національна преса академій, 2007.

( Повний текст )

Ще одна гарна всебічна резюме, яка обговорює теоретичні, етичні, а також технологічні аспекти просторових даних, пов’язаних із здоров'ям.

Для великої колекції робіт, що обговорюють методи та наслідки обробки чутливих просторових даних, ознайомтеся зі сторінкою Вибрані документи SEDAC щодо конфіденційності та геопросторових даних .