Wie gehe ich mit sensiblen geografischen Daten um?

Sie verwenden jeden Tag vertrauliche geografische Daten. Welche Strategien verfolgen Sie, um sie in Ihren geografischen Informationssystemen zu schützen?

Welche Art von Architektur verwenden Sie?

Welche Verschlüsselungsmethode verwenden Sie?

Was tun Sie für Benutzer, die vertrauliche Daten aus Ihren Datenbanken exportieren?

Mit einer Geodatenbank für mehrere Benutzer können Sie RLS ( Row Level Security ) implementieren . Sie können dies mit PostgreSQL (und PostGIS), Oracle und MS SQL Server und wahrscheinlich anderen tun. Ich habe gesehen, dass es bis zu den QGIS- und SDE-Ebenen implementiert wurde. RLS implementiert Berechtigungen für die Zeilen (GIS-Funktionen), die einzelne Benutzer oder Benutzergruppen auswählen / aktualisieren / löschen können.

Beispielsweise kann sich der Benutzer "bob" über eine verschlüsselte Verbindung bei einer Geodatenbank anmelden und eine GIS-Ebene aufrufen, in der nur die Funktionen angezeigt werden, zu deren Anzeige und Bearbeitung er berechtigt ist. Während Benutzer "sue" dieselbe GIS-Ebene laden und eine andere Ansicht der GIS-Funktionen sehen kann, ist sie berechtigt, diese anzuzeigen und zu bearbeiten.

Manchmal verwalte ich vertrauliche Daten und diese können nicht wie in meiner bevorzugten anderen Antwort in öffentliche und private Teile unterteilt werden , da die Geometrie alles preisgibt. Gute Beispiele sind Raubvogelnester (Wanderfalkenküken erzielen auf dem Schwarzmarkt günstige Preise) und Salzlecken (warum sollte man kalt und elend jagen, wenn ich nur sitzen und warten kann, bis die Beute von selbst in meine Sicht kommt?).

In diesem Fall besteht unsere Strategie darin, die Daten zu verwirren: Puffern Sie die Punkte mit großen Einheiten und einem zufälligen Versatz oder Schwerpunkt, zeigen oder teilen Sie nur die Karten und nicht die Rohdaten. Manchmal lassen wir die Punktgeometrie fallen und verbinden die Attribute mit einem größeren übergeordneten Polygon, z. B. "irgendwo innerhalb des Polygons, das von diesen beiden Flüssen und dieser Autobahn begrenzt wird, gibt es einen Salzleck", und das wird außerhalb der Einheit geteilt.

Ich habe eine Out-of-Band-Antwort: Ich bin einfach sehr bemüht, keine sensiblen Daten zu verarbeiten, wenn ich überhaupt helfen kann.

Okay, also auf den ersten Blick, wenn das keine sehr hilfreiche Antwort ist. Machen wir es noch mehr. Ich habe gelernt, dass Kunden häufig zu mir kommen und sagen, dass sie Daten so schützen müssen, dass eine sorgfältige Untersuchung ihrer Daten und Ziele zeigt, dass es nicht so viel zu schützen gibt, wie ursprünglich angenommen . Manchmal kann das wirklich private Zeug ohne allzu großen Aufwand getrennt werden. Sie behalten diese Tabelle mit Geburtstagen und Speicherorten in Ihrem privaten Dateisystem. Ich werde die Geometrie hier im freigegebenen Arbeitsgruppenbereich behalten, und Sie können sie bei Bedarf mithilfe dieser ID-Spalte verbinden.

Das Grundprinzip lautet: Halten Sie die Verantwortung für die Verwaltung der Sicherheit so nah wie möglich an der Quelle und zu Hause.

Auf diese Weise weiß ich, obwohl ich die räumlichen Daten verwalten könnte, so gut wie nichts darüber und kann daher niemals ein Vektor für die potenzielle Exposition sein. Ich halte es für ähnlich wie das grundlegende Computersicherheitsprotokoll, dass ein Systemadministrator Ihr Passwort zurücksetzen oder das Konto sperren kann, es aber nicht wirklich liest.

Ich benutze Postgresql mit Postgis- Funktionen.

Daten können verschlüsselt und über Benutzerkonten mit expliziten Datenbankberechtigungen abgerufen werden. dh Superuser gegen nicht privilegierte.

Datenanforderungen können mit einfachen oder komplexen SQL-Abfragen für Teilmengen behandelt werden, und relevante Daten werden verteilt, während vertrauliche (nicht verteilbare) Informationen geschützt werden.

Es unterstützt die Ausführung in einem geschlossenen LAN oder einer vollständig vernetzten Umgebung mit oder ohne Mehrbenutzerumgebung.

Es gibt natürlich mehrere andere RDBMS , aber postgresql ist Open Source.

Diese Strategien gelten in mehreren mir bekannten Unternehmen

1. Erlauben Sie den Zugriff auf Datenquellen nur in dem Bereich, der für das aktuelle Projekt von Interesse ist
2. Verwenden Sie WEB-Dienste wie WMS und WFS anstelle des direkten Zugriffs auf Dateidaten und Datenbanken
3. Alle Benutzer arbeiten auf Terminalservern mit eingeschränktem Zugriff auf Netzwerkressourcen

Es gibt einen interessanten Artikel , der verschiedene Ansätze zum Schutz der Privatsphäre beschreibt und bewertet:

Abgeordneter Armstrong, Rushton G, Zimmerman DL. Geografische Maskierung von Gesundheitsdaten zur Wahrung der Vertraulichkeit . Stat Med.1999; 18: 497–525.

( Volltext )

Obwohl sie sich auf gesundheitsbezogene Daten konzentrieren, können viele der diskutierten Ansätze in anderen Disziplinen relevant sein.

Nationaler Forschungs Rat. Menschen auf die Karte setzen: Vertraulichkeit mit verknüpften sozialräumlichen Daten schützen . Washington, DC: The National Academies Press, 2007.

( Volltext )

Eine weitere gute Allround-Ressource, die theoretische, ethische und auch technologische Aspekte gesundheitsbezogener Geodaten diskutiert.

Eine große Sammlung von Artikeln, in denen Methoden und Auswirkungen des Umgangs mit sensiblen Geodaten erörtert werden, finden Sie auf der Seite Ausgewählte Dokumente zur Vertraulichkeit und zu Geodaten von SEDAC .