Como lidar com dados geográficos confidenciais?

Você usa dados geográficos confidenciais todos os dias. Quais são suas estratégias para protegê-las em seus sistemas de informação geográfica?

Que tipo de arquitetura você usa?

Qual método de criptografia você usa?

O que você faz para usuários que exportam dados confidenciais de seus bancos de dados?

Com um banco de dados geoespacial multiusuário, você pode implementar o RLS ( Row Level Security ). Você pode fazer isso com PostgreSQL (e PostGIS), Oracle e MS SQL Server e provavelmente outros. Eu já o vi implementado até os níveis QGIS e SDE. O que o RLS faz é implementar privilégios nas linhas (recursos GIS) que usuários individuais ou grupos de usuários podem selecionar / atualizar / excluir.

Por exemplo, o usuário "bob" pode efetuar login em um banco de dados geoespacial usando uma conexão criptografada e abrir uma camada GIS mostrando apenas os recursos que ele está autorizado a ver e editar. Enquanto o usuário "processar" pode carregar a mesma camada GIS e ter uma visão diferente dos recursos GIS, ele está autorizado a ver e editar.

Às vezes, gerencio dados confidenciais e eles não podem ser separados em bits públicos e privados, como na minha outra resposta preferida, porque a geometria revela tudo. Bons exemplos são ninhos de aves de rapina (filhotes de falcão peregrino alcançam ótimos preços no mercado negro) e lambidas de sal (por que fazer toda a caça fria e miserável se eu posso apenas sentar e esperar a presa entrar na minha mira por vontade própria?).

Nesse caso, nossas estratégias são difundir os dados: coloque os pontos em buffer usando unidades grandes e um deslocamento aleatório ou centróide, apenas mostre ou compartilhe os mapas e não os dados brutos. Às vezes, eliminamos a geometria do ponto e juntamos os atributos a um polígono pai maior, por exemplo, "em algum lugar dentro do polígono delimitado por esses dois rios e pela rodovia há uma lambida de sal" e é isso que é compartilhado fora da unidade.

Tenho uma resposta fora da banda: simplesmente faço o possível para não manipular dados confidenciais, se é que posso ajudá-lo.

Ok, então na cara, se não for uma resposta muito útil. Vamos torná-lo mais. Aprendi que muitas vezes os clientes vêm até mim e dizem que precisam proteger os dados de tal maneira que uma exploração cuidadosa de seus dados e objetivos revelará que não há tanto a proteger como se pensava inicialmente . Às vezes, as coisas realmente privadas podem ser separadas sem muitos problemas. Você mantém essa tabela de aniversários e locais de endereços residenciais por lá, no seu sistema de arquivos privado. Manterei a geometria aqui no espaço do grupo de trabalho compartilhado e você poderá juntá-las quando necessário usando esta coluna de ID.

O princípio básico é: mantenha a responsabilidade de gerenciar a segurança o mais próximo possível da fonte, de casa.

Dessa forma, mesmo que eu possa gerenciar os dados espaciais, na verdade não sei quase nada sobre eles e, portanto, nunca pode ser um vetor para sua exposição potencial. Eu acho que é semelhante ao protocolo básico de segurança do computador que um administrador de sistemas pode redefinir sua senha ou bloquear a conta, mas na verdade não a lê.

Eu uso o postgresql com recursos do postgis .

Os dados podem ser criptografados e acessados ​​via contas de usuário com permissões explícitas de banco de dados; ou seja, superusuário vs não privilegiado.

As solicitações de dados podem ser tratadas com consultas SQL simples ou complexas para esses subconjuntos e os dados relevantes são distribuídos, protegendo informações confidenciais (não distribuíveis).

Ele suporta a execução em uma LAN fechada ou ambiente totalmente em rede e com ou sem um ambiente multiusuário.

Obviamente, existem vários outros RDBMS , mas o postgresql é de código aberto.

Essas estratégias se aplicam a várias empresas que eu conheço

1. Permitir acesso a fontes de dados apenas na área de interesse do projeto atual
2. Use serviços WEB como WMS e WFS em vez de acesso direto a dados e bancos de dados de arquivos
3. Todos os usuários trabalham no Terminal Server com acesso restrito aos recursos de rede

Há um artigo interessante que descreve e avalia várias abordagens para proteger a privacidade:

MP Armstrong, Rushton G, Zimmerman DL. Mascarar geograficamente os dados de saúde para preservar a confidencialidade . Stat Med.1999; 18: 497-525.

( Texto completo )

Embora focadas em dados relacionados à saúde, muitas das abordagens discutidas podem ser relevantes em outras disciplinas.

Conselho Nacional de Pesquisa. Colocando as pessoas no mapa: protegendo a confidencialidade com dados socioespaciais vinculados . Washington, DC: The National Academies Press, 2007.

( Texto completo )

Outro bom recurso geral discutindo aspectos teóricos, éticos e também tecnológicos dos dados espaciais relacionados à saúde.

Para uma grande coleção de artigos discutindo métodos e implicações no manuseio de dados espaciais sensíveis, consulte a página Documentos Selecionados da SEDAC sobre Confidencialidade e Dados Geoespaciais .