Как обрабатывать конфиденциальные географические данные?

Вы используете конфиденциальные географические данные каждый день. Каковы ваши стратегии их защиты в ваших географических информационных системах?

Какую архитектуру вы используете?

Какой метод шифрования вы используете?

Что вы делаете для пользователей, которые экспортируют конфиденциальные данные из ваших баз данных?

Используя многопользовательскую геопространственную базу данных, вы можете реализовать Row Level Security (RLS). Вы можете сделать это с PostgreSQL (и PostGIS), Oracle и MS SQL Server и, возможно, с другими. Я видел, как это реализовано до уровней QGIS и SDE. Что делает RLS, так это реализует права доступа к строкам (функции ГИС), которые отдельные пользователи или группы пользователей могут выбирать / обновлять / удалять.

Например, пользователь «bob» может войти в геопространственную базу данных, используя зашифрованное соединение, и открыть слой ГИС, показывающий только те функции, которые ему разрешено просматривать и редактировать. В то время как пользователь «sue» может загрузить один и тот же слой ГИС и увидеть другое представление функций ГИС, ему разрешено просматривать и редактировать.

Иногда я управляю конфиденциальными данными, которые нельзя разделить на открытые и закрытые биты, как в моем другом предпочтительном ответе, потому что геометрия выдает все это. Хорошими примерами являются гнезда-хищники (птенцы сокола-сапсана продаются по выгодным ценам на черном рынке) и соляные лисы (зачем заниматься охотой на холода и несчастья, если я могу просто сидеть и ждать, пока жертва сама придет в мои достопримечательности?).

В этом случае наши стратегии заключаются в размытии данных: буферизуйте точки, используя большие единицы и случайное смещение или центроид, только показывайте или делитесь картами, а не необработанными данными. Иногда мы отбрасываем геометрию точки и соединяем атрибуты с большим родительским многоугольником, например, «где-то внутри многоугольника, ограниченного этими двумя реками, и на этой трассе есть слиток», и это то, что используется совместно с юнитом.

У меня есть внеплановый ответ: я просто стараюсь не обрабатывать конфиденциальные данные, если могу вообще помочь.

Хорошо, так что на первый взгляд, если это не очень полезный ответ. Давайте сделаем это больше так. Я узнал, что большую часть времени, когда клиенты приходят ко мне и говорят, что им нужно защищать данные такими, какими бы они были, чтобы внимательное изучение их данных и целей показало, что защиты не так много, как предполагалось изначально , Иногда действительно личные вещи можно отделить без особых проблем. Вы храните эту таблицу дней рождения и местоположений домашних адресов в своей частной файловой системе. Я сохраню геометрию здесь в общем пространстве рабочей группы, и вы можете присоединиться к ним при необходимости, используя этот столбец ID.

Основной принцип: держите ответственность за управление безопасностью как можно ближе к источнику, к дому.

Таким образом, даже несмотря на то, что я мог бы управлять пространственными данными, я фактически почти ничего не знаю об этом, и поэтому никогда не смогу быть вектором для его потенциального воздействия. Я думаю, что это сродни базовому протоколу компьютерной безопасности, когда системный администратор может сбросить ваш пароль или заблокировать учетную запись, но на самом деле не читать ее.

Я использую postgresql с возможностями postgis .

Данные могут быть зашифрованы и доступны через учетные записи пользователей с явными разрешениями базы данных; то есть суперпользователь против непривилегированного.

Запросы данных могут обрабатываться с помощью простых или сложных запросов SQL для их подмножеств, и соответствующие данные распределяются при защите конфиденциальной (нераспространяемой) информации.

Он поддерживает работу в закрытой локальной сети или полностью сетевой среде с многопользовательской средой или без нее.

Есть, конечно, несколько других RDBMS , но postgresql с открытым исходным кодом.

Эти стратегии применяются в нескольких компаниях, которые я знаю

1. Разрешить доступ к источникам данных только в области интересов текущего проекта
2. Используйте веб-сервисы, такие как WMS и WFS, вместо прямого доступа к данным и базам данных файлов.
3. Все пользователи работают на терминальном сервере с ограниченным доступом к сетевым ресурсам

Есть интересная статья, описывающая и оценивающая несколько подходов к защите конфиденциальности:

М. П. Армстронг, Руштон Г., Циммерман Д. Л. Географическая маскировка данных о здоровье для сохранения конфиденциальности . Stat Med.1999; 18: 497-525.

( Полный текст )

Несмотря на то, что они сфокусированы на данных, связанных со здоровьем, многие из обсуждаемых подходов могут иметь отношение к другим дисциплинам

Национальный научно-исследовательский совет. Размещение людей на карте: защита конфиденциальности с помощью связанных социально-пространственных данных . Вашингтон, округ Колумбия: Пресса Национальных Академий, 2007.

( Полный текст )

Еще один хороший всесторонний обзор теоретических, этических, а также технологических аспектов пространственных данных, связанных со здоровьем.

Для большой коллекции статей, обсуждающих методы и последствия обработки чувствительных пространственных данных, посмотрите страницу Избранные документы по конфиденциальности и геопространственным данным SEDAC .