Senin, 14 Maret 2011

SISTEM KEMANAN DATA

7. Keamanan basis data
Database memainkan peranan yang sangat penting dalam sebuah organisasi masa kini dengan memberikan dukungan untuk penyimpanan data esensial dan untuk proses pengambilan keputusan. Menyediakan kenyamanan akses ke database untuk user yang memiliki otorisasi merupakan tujuan penting yang seharusnya dapat dicapai oleh administrator database (database administrator/ DBA). Database organisasi berisi beragam data, baik data yang bersifat konfidensial maupun yang bersifat non-konfidensial. Dilema besar yang dihadapai oleh DBA adalah bagaimana melindungi data yang bersifat konfidensial dan sensitif tanpa menghalangi akses kedata yang dibutuhkan untuk proses pengambilan keputusan. Dilema ini kini menjadi semakin penting dengan adanya keharusan untuk menjaga privasi data yang menyangkut pribadi seseorang.
Salah satu cara untuk memecahkan masalah ini adalah dengan mempergunakan sistem database statistik (statistical database system/ SDB). Dalam suatu SDB, user diijinkan untuk memperoleh hanya angka-angka statistik dari suatu subset data. Jika suatu database hanya berisi data yang bersifat konfidensial, maka pendekatan yang umum dilakukan adalah dengan membatasi user tertentu untuk memperoleh angka-angka statistik dan mengijinkan user yang lain atau program aplikasi untuk mengakses data secara individual.
Sebagai ilustrasi, diambil contoh kasus database sebuah bank. Diasumsikan bahwa database bank berisi data tentang nasabah dan tabungan yang dimilikinya dalam bank tersebut (saldo, debet dan kredit). Atribut-atribut ini merupakan data non-konfidensial (bagi karyawan bank tersebut). Selain itu, bank juga mengumpulkan informasi lain, seperti home equity, investasi pada saham/ obligasi serta liabilities dari nasabah, dengan jaminan eksplisit bahwa informasi tersebut hanya akan dipergunakan secara kolektif (berbentuk angka-angka statistik) dan data individual nasabah tersebut tidak akan diberitahukan kepada siapapun, termasuk pegawai bank sendiri. Atribut-atribut ini dengan demikian menjadi data yang bersifat konfidensial. Bank dapat mempergunakan informasi dalam database ini untuk mempersiapkan layanan baru atau meningkatkan layanan tertentu bagi para nasabahnya.
Tabel 1. Database bank.

Nasabah
Home Equity
Saham/ Obligasi
Liabilities
Simpanan
Kredit
1
120,62
48,86
73,72
22,29
37,75
2
120,04
54,21
88,65
18,63
53,69

-
-

-


-
-

-

9.999
86,96
50,01
86,98
16,52
44,09
10.000
81,92
50,41
67,73
21,04
51,48


Sebagian database bank tersebut diperlihatkan pada Tabel 1. Diasumsikan bahwa database ini memiliki distribusi normal multivariate. Deskripsi statistik dari atribut-atribut pada database ini ditunjukkan pada Tabel 2. Karena tidak mungkin untuk menggambarkan setiap tipe query yang mungkin diminta oleh user, maka summary ini mengukur representasi respons terhadap query yang dianggap penting untuk proses pembuatan keputusan.
Dilema yang dihadapi oleh DBA pada ilustrasi ini cukup jelas. Bank membutuhkan data ini untuk mengambil keputusan, maka penting untuk menyediakan  respons yang akurat untuk setiap query yang dilakukan oleh pegawainya mengenai data secara kolektif dan angka-angka statistiknya  Dilain pihak, bank harus tetap menjaga privasi individual nasabahnya.
Organisasi memiliki policy dan prosedur untuk menjaga akses tidak sah, baik yang dilakukan oleh “orang dalam” maupun oleh “orang luar”. Akses tidak sah yang dilakukan oleh orang dalam adalah lebih berbahaya, mengingat bahwa lebih dari 75% computer abusement dilakukan oleh orang dalam sendiri.
Fokus dari paper ini adalah menjaga akses tidak sah yang dilakukan oleh orang dalam. Digunakan istilah “snooper” untuk entitas yang memiliki ijin/ otoritas yang sah untuk mengakses database namun menggunakan akses sah ini untuk mengumpulkan data individual dengan atribut konfidensial yang seharusnya tidak boleh untuk diketahui.
Tabel 2. Pengukuran deskriptif database bank.
Summary Statistik

Atribut
Matriks Covariance
(Korelasi ditunjukkan dalam kurung)
Mean (Rp.000)
Std. Dev. (Rp. 000)
Home Equity
Saham/ Obligasi
Liabilities
Simpanan
Kredit
100,00
20,00
Home   Equity
400,00 (1,00)




50,00
10,00
Saham/ Obligasi
140,00 (0,70)
100,00 (1,00)



80,00
20,00
Liabilities
320,00 (0,80)
150,00 (0,75)
400,00 (1,00)


20,00
5,00
Simpanan
50,00   (0,50)
20,00 (0,40)
25,00  (0,25)
25,00     (1,00)

50,00
10,00
Kredit
60,00    (0,30)
20,00 (0,20)
30,00  (0,15)
30,00     (0,60)
100,00  (1,00)

Teknik kontrol akses sering diimplementasikan untuk menyediakan summary statistik data tanpa membuka data individualnya sendiri. Walaupun teknik ini dapat menjaga terbukanya data konfidensial dari beberapa tipe query, namun hal ini tidak menjamin terbukanya data konfidensial dari semua tipe query. Snooper melalui penggunaan query yang sah dan kemampuan analisis statistik yang dimilikinya, mungkin dapat mengidentifikasi, melalui entitas yang diberikan, nilai yang tepat dari suatu atribut konfidensial. Karena terbukanya rahasia data konfidensial terjadi melalui kesimpulan (inference), maka hal ini dikenal sebagai inferential disclosure. Selanjutnya, jika nilai sesungguhnya dari atribut konfensional telah disimpulkan, maka ini dikenal sebagai complete disclosure. Pada contoh database bank diatas, dengan inferential, complete disclosure akan terjadi jika snooper dapat mengidentifikasi bahwa nasabah #2 memiliki Rp.120.040,- pada kolom home equity (lihat Tabel 1).
Metoda data perturbation sangat berguna pada kasus dimana data berbentuk numerik dan complete disclosure tidak diijinkan. Data perturbation merupakan modifikasi terhadap data dalam atribut konfidensial dengan menggunakan random noise. Akses user dibatasi hanya pada data yang telah dimodifikasi, sehingga akan menjamin nilai asli dari data konfidensial tidak akan diketahui. Tujuan dari data perturbation adalah tetap menjaga kerahasiaan data konfidensial ketika akses maksimal terhadap informasi dibutuhkan secara akurat (membatasi bias).
Metoda perturbation dapat mencegah terjadinya complete disclosure, namun metoda ini mungkin masih dapat mengalami partial disclosure. Partial disclosure adalah kondisi dimana snooper dapat memperoleh nilai estimasi dari data beratribut konfidensial  yang mendekati nilai data sesungguhnya/ aslinya. Partial disclosure dikatakan telah terjadi jika nilai estimasi yang dibuat oleh snooper lebih mendekati kenyataan daripada level yang diijinkan oleh DBA.
Problem lain dari metoda data perturbation adalah respons untuk query yang menggunakan data perturbation dapat berbeda dengan respons yang menggunakan data original. Hal ini dikenal sebagai bias yang diakibatkan oleh perturbation (secara singkat akan disebut sebagai bias). Dengan kata lain perturbation akan mengubah satu atau lebih nilai statistik yang tercantum pada Tabel 2. Secara umum, semakin tinggi level perturbation akan semakin tinggi pula bias yang terjadi.
Pada paper ini akan dibahas metoda General Additive Data Pertubation (GADP) yang dapat menjaga korelasi antar semua atribut (baik atribut konfidensial maupun atribut non-konfidensial) secara sama, baik sebelum maupun sesudah perturbation.
Pertama akan dibahas mengenai pengukuran bias dan security (keamanan). Pengukuran kedua hal ini dibutuhkan untuk mengevaluasi pengaruh atribut konfidensial non-close pada metoda perturbation.
Untuk mengevaluasi metoda perturbation apapun, penting untuk mengukur bias dan keamanan yang dapat disediakan oleh metoda tersebut. Berikut akan didefinisikan pengukuran bias dan keamanan.
a. Pengukuran Bias Yang Diakibatkan Oleh Perturbation
Metoda perturbation dilakukan dengan menambahkan noise pada nilai original untuk membentuk nilai perturbation. Noise biasanya memiliki mean 0 dan  variance spesifik. Hal ini mengakibatkan terjadinya bias pada variance dan karakteristik lain, tetapi tidak pada mean. Disini diasumsikan bahwa perturbation telah mengubah standard deviasi dari atribut home equity dan liabilities dari Rp. 20.000,- ke Rp. 25.000,-, dan saham/ obligasi dari Rp. 10.000,- ke Rp. 12.500,-. Semua aspek lain dari database dibiarkan tidak mengalami perubahan. Uraian berikut akan membahas klasifikasi berbagai tipe bias.
Bias tipe A. Perturbation yang dilakukan pada atribut tertentu pada database meningkatkan variance dari atribut tersebut. Respons dari query “Berapa standard deviasi dari home equity ?”, dari data yang telah diberi perturbation akan dijawab Rp. 25.000,- yang berbeda dari data original         Rp. 20.000,-.  Hal ini juga akan berpengaruh pada query yang lain seperti “Berapa 5% home equity ?”, “Berapa rata-rata home equity dari 5% nasabah paling atas ?” dan sebagainya. Bias seperti ini dikenal sebagai bias tipe A.
Bias tipe B. Perturbation dapat mengubah hubungan antar atribut-atribut konfidensial. Bias tipe ini dapat terjadi pada perubahan variance dari atribut konfidensial dan/ atau pada perubahan covariance diantara atribut-atribut. Pada contoh diatas, perturbation akan mengubah korelasi antara atribut konfidensial home equity dan saham/ obligasi dari 0,8 pada database original (Tabel 2) ke 0,45. Bias seperti ini dikenal sebagai bias tipe B.
Bias tipe C. Perturbation yang dilakukan pada atribut konfidensial dapat juga mengubah hubungan antara atribut konfidensial dan atribut non-konfidensial. Bias ini dapat terjadi pada perubahan variance atribut konfidensial dan/ atau pada perubahan covariance antara atribut konfidensial dan atribut non-konfidensial. Pada contoh diatas, korelasi antara atribut konfidensial home equity dan atribut non-konfidensial saving/checking,  berubah dari 0,50 pada database original ke 0,40 setelah dilakukan perturbation. Bias ini disebut bias tipe C.
Bias tipe D. Jika sebaran database tidak berupa distribusi normal multivariate dan/ atau tambahan noise tidak normal multivariate, bentuk dari database yang telah diberi perturbation tidak selalu dapat ditentukan. Jika hal ini terjadi, maka respons terhadap query yang melibatkan persentase, jumlah, conditional mean dan lain-lain mungkin akan mengalami bias. Kondisi ini disebut sebagai bias tipe D.
Berikut akan dilakukan pembahasan tentang pengukuran keamanan. Notasi yang digunakan dalam pembahasan dapat dilihat pada Daftar Notasi di halaman vii.
b.  Pengukuran Keamanan Yang Dapat Disediakan Oleh Perturbation
Sebagaimana telah diindikasikan sebelumnya, metoda perturbation menjamin tidak akan terjadi complete disclosure, namun mungkin masih dapat terjadi partial disclosure. Oleh karenanya perlu untuk mengukur tingkat keamanan yang dapat disediakan oleh sebuah teknik perturbation terhadap terjadinya partial disclosure.
·         Pengukuran Keamanan Untuk Sebuah Atribut
Secara tradisional, keamanan yang dapat disediakan oleh teknik perturbation diukur sebagai variance dari perbedaan antara nilai original dan nilai yang telah diberi perturbation. Ukuran ini diberikan dengan  Var (XY), dimana X merupakan sebuah atribut orginal dan Y merupakan atribut yang telah diberi perturbation. Ukuran ini dapat dibuat dengan menggunakan skala invariant yang mengacu pada variance X dengan menyatakan keamanan sebagai :
 ………………………………….   (1)
Ukuran ini cocok digunakan untuk mengukur keamanan yang disediakan untuk sebuah atribut terhadap snooper yang memiliki akses sangat terbatas ke database. User sedemikian (biasanya pegawai setingkat entry-level atau low-level dengan tanggung jawab yang sangat terbatas dalam pembuatan keputusan) akan mengestimasi nilai data sesungguhnya hanya dengan mempergunakan nilai-nilai yang telah diberi perturbation. Karenanya, keamanan yang disediakan dapat diukur sebagai .
·         Pengukuran Keamanan Untuk Kombinasi Linear
Dalam suatu organisasi terdapat juga user yang memiliki otoritas untuk mengakses database secara bebas. User demikian biasanya adalah manajer high-level yang dapat memperoleh akses tanpa batas ke database (kecuali nilai original dari atribut yang bersifat konfidensial). Mereka biasanya bahkan mempunyai pengetahuan tentang atribut-atribut mana yang telah diberi perturbation dan seberapa besar perturbation yang diberikan. User demikian biasanya juga memiliki otoritas untuk mengeksplorasi hubungan antar atribut. User dengan level akses yang tinggi dan memiliki pengetahuan sedemikian, jika menjadi snooper akan mencoba untuk mengestimasikan nilai sesungguhnya dari data yang bersifat konfidensial dengan menggunakan cara-cara yang lebih advance daripada user dengan akses yang terbatas. Salah satu cara estimasi yang lebih advance adalah dengan mempergunakan kombinasi linear dari data yang terdapat pada atribut-atribut yang bersifat konfidensial.
Dalam contoh database bank diatas, terdapat kombinasi linear sebagai berikut :
Home Equity + Saham/ Obligasi – Liabilities.
Ini merupakan salah satu contoh kombinasi linear dari atribut-atribut konfidensial yang terdapat dalam database bank, yang biasanya dikenal sebagai “investasi netto diluar bank”. Snooper dapat memperkirakan jumlah kombinasi linear ini dengan mempergunakan nilai atribut-atribut konfidensial yang telah diberi perturbation maupun atribut-atribut non-konfidensial.
Jika atribut non-konfidensial yang terdapat dalam database dipergunakan untuk mengestimasikan kombinasi linear dari atribut konfidensial, maka resiko disclosure menjadi semakin tinggi. Dalam contoh kasus database bank diatas, snooper mungkin mencoba untuk mengestimasikan “investasi netto diluar bank” ini dengan mempergunakan semua informasi yang dapat diperolehnya, yaitu nilai-nilai yang telah diberi perturbation dari atribut konfidensial home equity, saham/ obligasi dan liabilities serta nilai-nilai atribut non-konfidensial seperti saldo, debet dan kredit. Pada kasus seperti ini, snooper mungkin dapat memahami dengan baik variability dari kombinasi linear pada atribut-atribut konfidensial tersebut, sehingga tingkat keamanan database menjadi berkurang.
Penting untuk dicatat bahwa kombinasi linear dari atribut-atribut tidak akan disimpan secara terpisah dalam database karena atribut-atribut ini dihitung mempergunakan atribut lainnya. Dalam kasus seperti ini, DBA mungkin tidak menyadari bahwa kombinasi linear boleh jadi akan menyebabkan terjadinya partial disclosure. Karena disclosure akan menyebabkan menurunnya tingkat keamanan, maka penting untuk mengukur tingkat keamanan dari aspek kombinasi linear pada atribut-atribut yang terdapat dalam database.
Pengukuran keamanan terhadap kombinasi linear merupakan hal yang sulit, karena dalam database sesungguhnya, terdapat tak terhitung banyaknya kombinasi sedemikian. Pada database bank, selain kombinasi linear “investasi netto diluar bank” seperti yang telah diuraikan diatas, mudah untuk melihat adanya kombinasi linear lainnya. Secara praktis, tidak mungkin untuk mengidentifikasi dan mengukur tingkat keamanan dari semua kombinasi linear yang ada dalam suatu database. Pada studi ini akan dipergunakan analisis korelasi canonical sebagai pengukuran tingkat keamanan umum terhadap kombinasi linear dalam suatu database.
Analisis korelasi canonical dapat dipergunakan untuk mengukur proporsi maksimum variance, dimana snooper dapat menggunakannya untuk setiap kombinasi linear dari atribut konfidensial yang tidak diketahui dengan menggunakan kombinasi linear dari atribut yang telah diketahui (baik yang berupa atribut non-konfidensial dan/ atau atribut konfidensial yang telah diberi perturbation). Karenanya, tingkat keamanan dapat diukur oleh administrator database dengan  menggunakan analisis ini. Tingkat keamanan adalah proporsi dari variance yang harus ada (tidak dapat dihilangkan) yang akan dipergunakan oleh snooper dalam mengestimasi kombinasi linear dari atribut-atribut konfidensial. Fitur penting dari pengukuran tingkat keamanan menggunakan analisis ini adalah bahwa penghitungan dapat dilakukan secara langsung untuk database apapun dan metoda perturbation apapun. 
Diberikan  sebagai representasi dari eigenvalue terbesar yang dihasilkan oleh matriks berikut :
dimana V = {S, Y} ...........................            (2)
dan
Nilai  menunjukkan proporsi maksimum dari variabilitas setiap kombinasi linear dari  X yang dapat dijelaskan menggunakan kombinasi linear manapun dari Y dan S. Karenanya keamanan terhadap kombinasi linear dapat didefinisikan sebagai :
 .............................................................................    (3)
Sehingga, untuk setiap kombinasi linear dari X, paling sedikit  proporsi variabilitas tetap tidak dapat dijelaskan. Harus dicatat bahwa rumusan diatas dapat dipergunakan untuk database apapun, untuk metoda perturbation apapun dan untuk user manapun, sehingga rumus ini merupakan alat yang powerful untuk mengevaluasi keamanan.
Akhirnya penting untuk dicatat bahwa dalam konteks organisasi, semua pengukuran keamanan (S1 dan S2)  akan memungkinkan DBA memiliki informasi penting mengenai efektivitas metoda perturbation.
c.  Menentukan Bias Dan Persyaratan Keamanan Untuk Perturbation
Untuk memahami performa bias dan keamanan dari setiap metoda, diasumsikan bahwa DBA telah menentukan persyaratan keamanan ketika memberikan perturbation pada database bank seperti berikut :
(i)       Tidak terjadi bias pada summary pengukuran atribut-atribut konfidensial individual yang berhubungan dengan perubahan variance (tidak terjadi bias tipe A).
(ii)     Hubungan antar atribut konfidensial harus tetap sama, baik sebelum maupun setelah perturbation (tidak terjadi bias tipe B).
(iii)   Hubungan antara variabel konfidensial dan variabel non-konfidensial harus tetap sama, baik sebelum maupun setelah perturbation (tidak terjadi bias tipe C).
(iv)   Distribusi dari atribut-atribut konfidensial harus tetap sama, baik sebelum maupun setelah perturbation (tidak terjadi bias tipe D).
(v)     Tingkat keamanan untuk sebuah atribut (atribut tunggal) paling kecil adalah 1,00 untuk setiap atribut.
(vi)   Tingkat keamanan terhadap kombinasi linear paling kecil adalah 0,50.
Pada bagian berikut akan digunakan database bank sebagai ilustrasi numerik pada aplikasi berbagai metoda.perturbation. Walaupun demikian, hasilnya tetap dapat digeneralisir untuk database dengan distribusi normal multivariate lainnya.
d.  Metoda Additive Data Perturbation (ADP)
Metoda ADP dikembangkan dari metoda yang semula digunakan untuk atribute tunggal menjadi metoda perturbation untuk multi-attribut. Pada jenis kasus apapun,  metoda ADP digunakan dengan menambahkan noise yang memiliki mean 0, sehingga tidak akan menyebabkan terjadinya bias pada estimasi mean. Summary karakteristik yang dihasilkan oleh aplikasi berbagai metoda perturbation pada database bank dapat dilihat pada Tabel 3.
Tabel 3.  Karakteristik statistik dari berbagai metoda perturbation.
Metoda
Deskripsi
Karakteristik
Additive
     SADP
Y = X + e
dD
 + dD
     CADP
Y = X + e
d
(1 + d)
     BCADP
Y = [(1/d1)(X + e)] + [(d2/d1)mX]
d
(1/d1)
(1/d1)
Multiplicative
     MDP
Y = Xe
dD
+ dm2XD + dD2


·         Metoda Simple Additive Data Perturbation (SADP)
Pada bentuk metoda yang paling sederhana ini, SADP dilakukan dengan melakukan perturbation pada atribut konfidensial (X) dengan menambahkan sebuah noise (e) untuk menghasilkan nilai atribut yang telah diberi perturbation (Y). Jika metoda SADP digunakan untuk database multi-attribute, maka setiap atribut dalam database akan diberikan perturbation secara independen. SADP dapat dideskripsikan sebagai berikut :
 …………………………………………………..   (4)
dimana e memiliki distribusi normal multivariate dengan mean vector 0 dan covariance matriks dD. Parameter d dan distribusi e dipilih berdasarkan persyaratan yang telah disusun oleh DBA (lihat bagian 3.1). Untuk memenuhi persyaratan (v), ditentukan d = 1,00. Persyaratan lainnya tidak akan dipergunakan pada metoda SADP. Hasil pengukuran deskripsi dan keamanan yang dihasilkan dari penggunaan metoda SADP pada database yang telah diberi perturbation dapat terlihat pada Tabel 4.
Tabel 4.  Pengukuran deskriptif database bank
setelah dilakukan metoda perturbation SADP.
Summary Statistik

Atribut
Matriks Covariance
(Korelasi ditunjukkan dalam kurung)
Mean      (Rp. 000)
Std. Dev. (Rp. 000)
Home Equity
Saham/ Obligasi
Liabilities
Simpanan
Kredit
100,00
28,28
Home   Equity
800,00 (1,00)




50,00
14,14
Saham/ Obligasi
140,00 (0,35)
200,00 (1,00)



80,00
28,28
Liabilities
320,00 (0,40)
150,00 (0,38)
800,00 (1,00)


20,00
5,00
Simpanan
50,00   (0,36)
20,00 (0,28)
25,00  (0,18)
25,00     (1,00)

50,00
10,00
Kredit
60,00    (0,21)
20,00 (0,14)
30,00  (0,11)
30,00     (0,60)
100,00  (1,00)
Keamanan untuk atribut tunggal (S1) = 1,00
Keamanan untuk kombinasi linear (S2) = 0,26

Membandingkan summary dari metoda SADP yang termuat pada Tabel 4 dengan summary pengukuran data sesungguhnya yang terdapat pada Tabel 2, terlihat bahwa metoda SADP menyebabkan terjadinya bias tipe A (variance dari atribut yang diberi perturbation berbeda dari atribut originalnya). Juga terjadi bias tipe B, dimana korelasi antar atribut konfidensial sebelum dan sesudah pemberian perturbation berbeda. Terjadi juga bias tipe C,  karena korelasi antara atribut-atribut konfidensial dan atribut-atribut non-konfidensial yang dihitung sebelum dan sesudah pemberian perturbation berbeda. Walaupun demikian bias tipe D tidak terjadi, karena baik database original maupun noise memiliki distribusi normal multivariate.
Ditinjau dari perspektif keamanan, terlihat bahwa metoda SADP dapat menyediakan keamanan untuk atribut tunggal secara memadai. Walaupun demikian, keamanan terhadap kombinasi linear hanya mencapai 0,26. Ini jauh lebih rendah daripada tingkat keamanan yang diharapkan yaitu 0,50. Metoda SADP perlu diperbaiki untuk meningkatkan keamanan terhadap kombinasi linear.
·         Metoda Correlated-Noise Additive Data Perturbation (CADP)
Tidak seperti metoda SADP, metoda CADP mengunakan correlated-noise untuk perturbation. Metoda CADP dapat ditulis sebagai berikut :
Y = X + e  …………………………………………………..   (5)
dimana e memiliki distribusi normal multivariate dengan mean vector 0 dan matriks covariance = . Sebagaimana dalam metoda SADP, persyaratan (iv) menuntut bahwa distribusi e harus normal multivariate dan persyaratan (v) menuntut bahwa d = 1,00. Hasil dari penggunaan metoda CADP pada database bank termuat pada Tabel 5.
Tabel 5.  Pengukuran deskriptif database bank
setelah dilakukan metoda perturbation CADP.
Summary Statistik

Atribut
Matriks Covariance
(Korelasi ditunjukkan dalam kurung)
Mean  (Rp. 000)
Std. Dev. (Rp. 000)
Home Equity
Saham/ Obligasi
Liabilities
Simpanan
Kredit
100,00
28,28
Home   Equity
800,00 (1,00)




50,00
14,14
Saham/ Obligasi
280,00 (0,70)
200,00 (1,00)



80,00
28,28
Liabilities
640,00 (0,80)
300,00 (0,75)
800,00 (1,00)


20,00
5,00
Simpanan
50,00   (0,36)
20,00 (0,28)
25,00  (0,18)
25,00     (1,00)

50,00
10,00
Kredit
60,00    (0,21)
20,00 (0,14)
30,00  (0,11)
30,00     (0,60)
100,00  (1,00)
Keamanan untuk atribut tunggal (S1) = 1,00
Keamanan untuk kombinasi linear (S2) = 0,39

Membandingkan summary dari metoda CADP yang termuat pada Tabel 5 dengan summary pengukuran data sesungguhnya yang terdapat pada Tabel 2, terlihat bahwa metoda CADP menghasilkan bias tipe A dan bias tipe C. Tidak terjadi bias tipe B dan bias tipe D. Metoda CADP menyediakan keamanan yang memadai untuk atribut tunggal. Analisis korelasi canonical menunjukkan bahwa keamanan terhadap kombinasi linear adalah sebesar 0,39. Ini lebih rendah daripada persyaratan (vi) yang ditetapkan oleh DBA, yaitu 0,50. Hal ini berarti masih terdapat kemungkinan terjadi partial disclosure pada metoda CADP jika terdapat atribut non-konfidensial pada database.
·         Metoda Bias-Corrected Correlated-Noise Additive Data Perturbation (BCADP)
Modifikasi dari metoda CADP dilakukan untuk mengeliminasi bias tipe A. Metoda BCADP memodifikasi nilai perturbation yang dihasilkan dari metoda CADP dengan menggunakan transformasi linear. Secara matematis metoda BCADP dapat dideskripsikan sebagai berikut :
 …………………………….  (6)
dimana d1 = (1 + d)0,5, d2 = (d1 – 1),  adalah mean vector dari X, dan d adalah level perturbation yang diharapkan. Sebagaimana kasus pada metoda CADP, berdasar persyaratan (iv) dan (v), e harus memiliki distribusi normal multivariate dengan mean vector 0 dan matriks covariance . Hasil dari aplikasi metoda BCADP ini dapat dilihat pada Tabel 6.
Membandingkan Tabel 2 dan Tabel 6, secara nyata terlihat bahwa bias tipe A, B atau D tidak terjadi pada metoda perturbation ini. Namun bias tipe C masih tetap terjadi. Tingkat keamanan yang diberikan oleh metoda BCADP untuk atribut tunggal hanya sebesar 0,58. Ini lebih rendah dari persyaratan yang ditetapkan, yaitu 1,00. Ini berarti bahwa masih terdapat kemungkinan   terjadi partial disclosure pada atribut individual. Keamanan yang diberikan terhadap kombinasi linear adalah sebesar 0,39 juga lebih rendah dari level yang diinginkan yaitu sebesar 0,50. Ini berarti bahwa partial disclosure juga masih mungkin terjadi pada kombinasi partial. Jadi metoda BCADP gagal untuk memenuhi kedua persyaratan keamanan yang diharapkan oleh DBA.
Tabel 6.  Pengukuran deskriptif database bank
setelah dilakukan metoda perturbation BCADP.
Summary Statistik

Atribut
Matriks Covariance
(Korelasi ditunjukkan dalam kurung)
Mean  (Rp. 000)
Std. Dev. (Rp. 000)
Home Equity
Saham/ Obligasi
Liabilities
Simpanan
Kredit
100,00
20,00
Home   Equity
400,00 (1,00)




50,00
10,00
Saham/ Obligasi
140,00 (0,70)
100,00 (1,00)



80,00
20,00
Liabilities
320,00 (0,80)
150,00 (0,75)
400,00 (1,00)


20,00
5,00
Simpanan
35,35   (0,36)
14,14 (0,28)
17,68  (0,18)
25,00     (1,00)

50,00
10,00
Kredit
42,43    (0,21)
14,14 (0,14)
21,21  (0,11)
30,00     (0,60)
100,00  (1,00)
Keamanan untuk atribut tunggal (S1) = 0,58
Keamanan untuk kombinasi linear (S2) = 0,39
e.  Multiplicative Data Perturbation (MDP)
Metoda multiplicative data perturbation menggunakan bentuk yang berbeda dari metoda ADP. Untuk atribut konfidensial tunggal original X, atribut dengan perturbation Y dapat diperoleh dari :
Y = Xe ………………………………………………………  (7)
dimana e memiliki mean 1,0 dan variance tertentu. Karena mean e = 1,0, maka tidak akan terjadi bias pada estimasi mean. Metoda ADP dikembangkan dari metoda SADP ke metoda yang lebih baik, yaitu metoda CADP dan metoda BCADP yang lebih cocok untuk kasus multivariate. Namun demikian, tidak satupun pengembangan ini ditujukan untuk metoda MDP. Karenanya, ketika metoda MDP digunakan untuk memberikan perturbation secara multiple pada atribute-atribut konfidensial, maka perturbation harus diberikan pada setiap atribut secara independen (sendiri-sendiri) terpisah dari atribut lainnya. Sebagaimana metoda ADP, persyaratan (v) dapat digunakan untuk menentukan tingkat dari d. Ini merupakan satu-satunya persyaratan yang digunakan secara langsung pada aplikasi metoda MDP. Hasil dari penggunaan metoda MDP pada database nasabah bank diperlihatkan pada Tabel 7.
Membandingkan hasil dari Tabel 2 dan Tabel 7, dapat dilihat bahwa pada metoda MDP terjadi bias tipe A. Penggunaan metoda MDP juga menyebabkan terjadinya bias pada pengukuran korelasi, baik antar atribut konfidensial (bias tipe B) dan antara atribut konfidensial dan atribut non-konfidensial (bias tipe C). Jika metoda MDP diaplikasikan untuk perturbation pada database dengan distribusi normal multivariate, seperti pada database bank, bias tipe D juga terjadi. Tingkat keamanan yang diberikan oleh metoda MDP untuk atribut tunggal adalah sebesar 1,04. Ini lebih tinggi dari level yang disyaratkan yaitu 1,00. Tingkat keamanan untuk kombinasi linear hanya sebesar 0,27. Ini berarti lebih rendah dari pesyaratan yang ditetapkan DBA, yaitu sebesar 0,50.
Tabel 7.  Pengukuran deskritif database bank
setelah dilakukan metoda perturbation MDP.
Summary Statistik

Atribut
Matriks Covariance
(Korelasi ditunjukkan dalam kurung)
Mean  (Rp. 000)
Std. Dev. (Rp. 000)
Home Equity
Saham/ Obligasi
Liabilities
Simpanan
Kredit
100,00
28,57
Home   Equity
816,00 (1,00)




50,00
14,28
Saham/ Obligasi
140,00 (0,35)
204,00 (1,00)



80,00
28,57
Liabilities
320,00 (0,39)
150,00 (0,37)
816,00 (1,00)


20,00
5,00
Simpanan
50,00   (0,35)
20,00 (0,28)
25,00  (0,18)
25,00     (1,00)

50,00
10,00
Kredit
60,00    (0,21)
20,00 (0,14)
30,00  (0,11)
30,00     (0,60)
100,00  (1,00)
Keamanan untuk atribut tunggal (S1) = 1,04
Keamanan untuk kombinasi linear (S2) = 0,27

Tidak ada komentar:

Posting Komentar