Comment gérer les données géographiques sensibles?

10

Vous utilisez quotidiennement des données géographiques sensibles. Quelles sont vos stratégies pour les protéger dans vos systèmes d'information géographique?

Quel type d'architecture utilisez-vous?

Quelle méthode de cryptage utilisez-vous?

Que faites-vous pour les utilisateurs qui exportent des données sensibles de vos bases de données?

security gistack.ca
la source

Réponses:

6

Avec une base de données géospatiales multi-utilisateurs, vous pouvez implémenter Row Level Security (RLS). Vous pouvez le faire avec PostgreSQL (et PostGIS), Oracle et MS SQL Server, et probablement d'autres. Je l'ai vu implémenté jusqu'aux niveaux QGIS et SDE. RLS met en œuvre des privilèges sur les lignes (fonctionnalités SIG) que les utilisateurs individuels ou les groupes d'utilisateurs peuvent sélectionner / mettre à jour / supprimer.

Par exemple, l'utilisateur "bob" peut se connecter à une base de données géospatiales à l'aide d'une connexion cryptée et afficher une couche SIG affichant uniquement les entités qu'il est autorisé à voir et à modifier. Alors que l'utilisateur "poursuivre" peut charger la même couche SIG et voir une vue différente des fonctionnalités SIG qu'elle est autorisée à voir et à modifier.

Mike T
la source
6

Parfois, je gère des données sensibles et qui ne peuvent pas être séparées en bits publics et privés comme dans mon autre réponse préférée parce que la géométrie donne tout. De bons exemples sont les nids de rapaces (les poussins de faucon pèlerin se vendent à des prix avantageux sur le marché noir) et les léchages de sel (pourquoi faire de la chasse froide et misérable si je peux simplement m'asseoir et attendre que la proie entre dans mon champ de vision de son propre chef?).

Dans ce cas, nos stratégies consistent à brouiller les données: tamponner les points à l'aide de grandes unités et d'un décalage aléatoire ou d'un centroïde, n'afficher ou partager que les cartes et non les données brutes. Parfois, nous supprimons la géométrie du point et joignons les attributs avec un polygone parent plus grand, par exemple "quelque part dans le polygone délimité par ces 2 rivières et cette route, il y a un léchage de sel" et c'est ce qui est partagé en dehors de l'unité.

Matt Wilkie
la source
4

J'ai une réponse hors bande: simplement, je fais tout mon possible pour ne pas gérer les données sensibles si je peux du tout l'aider.

D'accord, donc sur le visage si ce n'est pas une réponse très utile. Rendons-le encore plus. J'ai appris que la plupart du temps, lorsque les clients viennent me voir et disent qu'ils doivent protéger les données telles que n-telles qu'une exploration minutieuse de leurs données et de leurs objectifs révélera qu'il n'y a pas autant de choses à protéger qu'on le pensait initialement . Parfois, les choses vraiment privées peuvent être séparées sans trop de problèmes. Vous conservez ce tableau des anniversaires et des adresses personnelles là-bas, dans votre système de fichiers privé. Je garderai la géométrie ici dans l'espace de groupe de travail partagé, et vous pouvez les rejoindre en cas de besoin en utilisant cette colonne ID.

Le principe de base est le suivant: garder la responsabilité de gérer la sécurité le plus près possible de la source, du domicile.

De cette façon, même si je peux gérer les données spatiales, je n'en sais pratiquement rien, et ne peux donc jamais être un vecteur de son exposition potentielle. Je pense que cela s'apparente au protocole de sécurité informatique de base qu'un administrateur système peut réinitialiser votre mot de passe ou verrouiller le compte, mais pas le lire.

Matt Wilkie
la source
3

J'utilise postgresql avec des capacités postgis .

Les données peuvent être chiffrées et accessibles via des comptes d'utilisateurs avec des autorisations de base de données explicites; c'est-à-dire superutilisateur vs non privilégié.

Les demandes de données peuvent être traitées avec des requêtes SQL simples ou complexes pour ces sous-ensembles et les données pertinentes sont distribuées tout en protégeant les informations sensibles (non distribuables).

Il prend en charge l'exécution sur un réseau local fermé ou un environnement entièrement en réseau et avec ou sans environnement multi-utilisateur.

Il existe bien sûr plusieurs autres SGBDR , mais postgresql est open-source.

SaultDon
la source
Les stratégies ici sont applicables à tout SGBDR décent. La technologie db particulière n'est pas pertinente, sauf si elle se réfère à des caractéristiques spécifiques applicables uniquement au produit X. Ce serait une meilleure réponse, par rapport à la question, si elle n'était pas spécifique au postgis. (c'est toujours une bonne réponse, mais pas aussi bonne qu'elle pourrait l'être.)
matt wilkie
PostGreSql prend-il en charge la sécurité au niveau des colonnes et / ou au niveau des lignes ? Si oui, est-ce que cela fonctionne bien avec PostGIS? et si oui, est-ce que cela fonctionne bien avec ArcSDE?
Kirk Kuykendall
Vous pouvez crypter les colonnes avec postgresql , et postgis doit les prendre en charge tant qu'elles sont accessibles par l'utilisateur / groupe / rôle autorisé. Je n'ai pas exploré la compatibilité d'ArcSDE avec le chiffrement postgresql ou l'inverse ...
SaultDon
@KirkKuykendall PostgreSQL prend en charge la sécurité au niveau des colonnes et des lignes. PostGIS fournit simplement les extensions spatiales pour PostgreSQL, donc si vous avez PostGIS, vous avez déjà PostgreSQL. Quant à SDE, je sais que PostgreSQL est un backend RDBMS pris en charge. J'espère que cela t'aides.
Obtenez le
@Russell Merci pour l'info. Savez-vous si l'implémentation de la sécurité au niveau des lignes ou des colonnes rompt SDE?
Kirk Kuykendall
3

Ces stratégies s'appliquent dans plusieurs entreprises que je connais

  1. Autoriser l'accès aux sources de données uniquement dans la zone d'intérêt du projet en cours
  2. Utilisez des services WEB comme WMS et WFS au lieu d'un accès direct aux données de fichiers et aux bases de données
  3. Tous les utilisateurs travaillent sur Terminal Server avec un accès restreint aux ressources réseau
mégadrofan
la source
Bonne idée avec WMS et WFS mais pour l'exportation de données vectorielles?
gistack.ca
L'exportation est limitée à la limite des fonctionnalités interrogées dans WFS (près de 2000 par défaut). Le problème d'exportation peut être surmonté en fournissant le seul client comme l'application JS / Silverlight / Flash / Desktop qui manque de fonctionnalité d'exportation et en sécurisant les services
megadrofan
Vous pouvez également développer vos services Web limités pour éditer des données qui utilisent WFS et les utiliser dans votre application cliente. Bien que le développement d'applications et de services personnalisés nécessite beaucoup de codage.
megadrofan
3

Il existe un article intéressant décrivant et évaluant plusieurs approches pour protéger la vie privée:

MP Armstrong, Rushton G, Zimmerman DL. Masquage géographique des données de santé pour préserver la confidentialité . Stat Med.1999; 18: 497–525.

( Texte intégral )

Bien qu'elles soient axées sur les données liées à la santé, de nombreuses approches discutées peuvent être pertinentes dans d'autres disciplines.

Conseil National de Recherche. Mettre les gens sur la carte: protéger la confidentialité avec des données socio-spatiales liées . Washington, DC: The National Academies Press, 2007.

( Texte intégral )

Une autre bonne ressource globale discutant des aspects théoriques, éthiques et également technologiques des données spatiales liées à la santé.

Pour une grande collection d'articles sur les méthodes et les implications de la manipulation de données spatiales sensibles, consultez la page Documents sélectionnés sur la confidentialité et les données géospatiales de SEDAC .

radek
la source