Luottamuksellisuuden mekanismeja (2-A)

On mahdollista, että osa tietokannan tiedoista on luottamuksellisia, mutta joidenkin tietojen pitää silti olla julkisemmin saatavissa. Jos tiedot ovat sillä tavoin erillisiä, että toisten kyselemiseen ei koskaan tarvita toisia ja kääntäen, kannat ovat oikeastaan erillisiä eikä mitään ongelmaa olekaan -- paitsi se että alunperinkään ei olisi pitänyt kuvitella tietojen muodostavan yhtä tietokantaa. Käytännössä pitää siis pystyä käsittelemään arkuudeltaan erilaisia kyselytuloksia eri tavoin. Tavanomaisten pääsynvalvonnan ja sitä edeltävien autentikoinnin mekanismien lisäksi voidaan soveltaa seuraavanlaisia "päättelyn kontrollin" menetelmiä:

  • suppean aineiston sääntö: kysely hylätään jos tulos (esim. summa) perustuisi hyvin pieneen määrään tietueita (esim. alle kuuteen joissain terveystietokannoissa). Tästä säännöstä on edistyneempi versio, ns. (n,k)-sääntö: kysely hylätään, jos enintään n tietuetta tuottaa vähintään k % kyselyn tuloksesta. Tyypillisiä arvoja ovat n=3 ja k=70. Tällaiset säännöt koskevat yleisemminkin tilastoaineistoista julkaistavia raportteja.
  • tulosten yhdistelmät: hylätään kysely, jos sen tuloksena olevien tietueiden joukko on suurelta osin (mutta ei tarkkaan) sama kuin edellisellä kerroilla. Jos tällaiset kyselyt voitaisiin tehdä, niin niiden yhteisen osan vaikutus saattaisi olla mahdollista poistaa, ja jäljelle voisi jäädä liian suppea aineisto.
  • satunnaisotos, josta kyselyn tulokset muodostetaan (suuren tietokannan tapauksessa).
  • vaihteluvälien ilmoittaminen tarkkojen arvojen sijasta: itse tuloksessa (esim. keskiarvossa) tai tuloksen luokittelussa (ikävuosittaisen lukumääräjakauman sijasta viiden vuoden välein).
  • satunnainen muuntelu, perturbaatio, jolla tietoa hieman vääristellään mutta tulos on silti suuntaa-antava. Voidaan pyrkiä käyttämään samanlaista muuntelua eri kerroilla, jotta tulosta ei saataisi tarkennetuksi usean kerran keskiarvona.
  • kyselyanalyysi: Tietokantapalvelin voi pitää kirjaa käyttäjän aiemmista kyselyistä (jopa aiemmilla käyttökerroilla) ja laskea, voiko se enää vastata uusiin kyselyihin antamatta käyttäjälle tilaisuutta tehdä yhdistelmiä, johon tällä ei ole oikeutta. Ymmärrettävästi tätä on kuitenkin erittäin vaikea toteuttaa.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 26 Sep 2010 - 11:10:29 - MarkoHelenius
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback