[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 06:41:17 (+0700) | #1 | 217725 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Để tiếp tục khai triển khía cạnh "risk management" từ chủ đề "Để trở thành hacker" cũng trong phân mục này. Tôi mở ra chủ đề mới và cụ thể về mục tiêu là "HVA forum" để tránh "lạc đề" và để tạo điều kiện cho những ai thích đào sâu hơn về "risk management".
Tôi xin "mào đầu" bằng vài câu hỏi sau:
1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?
2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không?
3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?
Mời bà con . |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 08:35:25 (+0700) | #2 | 217729 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
conmale wrote:
1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?
Nếu nói risks nó có thể hơi mơ hồ một chút, có người sẽ lý luận vì các bác admin quá giỏi nên sẽ không có risk.
Có thể chuyển câu hỏi sang thành:
1. HVA có "threats" hay không? Nếu có, đó là những "threats" gì? |
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 08:53:42 (+0700) | #3 | 217731 |
cvhainb
Member
|
0 |
|
|
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
|
|
conmale wrote:
1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?
- Cái này thiệt khó trả lời nhưng bản thân em nghĩ cái gì cũng có rủi ro (risks) cả. Rủi ro thường thấy là HVA hay bị "kiểm tra" bởi các "thợ" .
conmale wrote:
2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không?
- Tuỳ vào mức độ rủi ro .
conmale wrote:
3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?
- Đào sâu vào các rủi ro (risks) và sửa chữa bằng kinh nghiệm và kỹ thuật của từng người quản trị (admin) .
Thân, |
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:08:28 (+0700) | #4 | 217735 |
|
AIO
Member
|
0 |
|
|
Joined: 21/02/2008 23:44:02
Messages: 127
Offline
|
|
|
chẳng ai nghĩ gì về mình cả |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:22:10 (+0700) | #5 | 217740 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
conmale wrote:
Để tiếp tục khai triển khía cạnh "risk management" từ chủ đề "Để trở thành hacker" cũng trong phân mục này. Tôi mở ra chủ đề mới và cụ thể về mục tiêu là "HVA forum" để tránh "lạc đề" và để tạo điều kiện cho những ai thích đào sâu hơn về "risk management".
Tôi xin "mào đầu" bằng vài câu hỏi sau:
1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?
2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không?
3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?
Mời bà con .
1. HVA có "risks", HVA là diễn đàn phát triển có quy mô, tổ chức và có định hướng đúng đắn nhất trong các diễn đàn về CNTT tại Việt Nam, điều này dẫn đến nhiều hệ luỵ : nhiều kẻ lên HVA bị chỉnh vài câu đâm ra không thích phá cho vui, những kẻ ghen ghét thực hiện dò tìm khai thác lỗi, DDOS cho sập ... hoặc nguỵ tạo thông tin bôi xấu một số thành viên . Đại loại như sản phầm của microsoft luôn bị chú tâm bời các hacker . HVA chắc cũng luôn bị chú tâm, nhiều kẻ mong muốn hạ gục.
2. Thiệt hại lớn nhất HVA bị tấn công khi hva bị đánh sập hoặc bị DDOS nặng thì member sẽ không thể truy cập vào HVA, không có môi trường tham gia trao đổi học hỏi kiến thức, kinh nghiệm.
HVA hoạt động phi lợi nhuận do đó việc quy ra vật chất thì hơi khó. Tuy nhiên có thể quy ra vật chất ở tiền thuê đường truyền, server chạy tốn điện , thời gian admin fix lỗi ( thời gian của admin có thể quy ra tiền)
3. Chắc phải treo cái bảng xin đừng phá em . Giống như sau đít xe tải thường hay để câu " Xin đừng hôn em , má la "
p/s: post xong mới thấy bác AIO nhắc nhở, thui thì bác mod nào cho ẩn bài em giùm |
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:22:32 (+0700) | #6 | 217741 |
|
updateslove
Member
|
0 |
|
|
Joined: 04/08/2005 08:02:56
Messages: 24
Offline
|
|
1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?
-Trước tiên là 'risks' về phần cứng, như điện đóm cho máy chủ, các bộ phận của máy chủ có thể bị hư mà khó biết trước, hệ thống làm mát, đường truyền cung cấp kết nối internet.
-Sau đó là 'risks' về phần mềm, như các lỗ hổng bảo mật của phần mềm chạy trên máy chủ mà chưa phát hiện/chưa vá.
-Chỗ này e vẫn còn mơ hồ, nhưng em nghĩ sẽ có thể có 'risks' thuộc về quy chế hoạt động, cụ thể thì mời anh em trao đổi thêm
-Tiếp nữa là 'risks' về con người, có thể có 1 cá nhân trong ban quản trị làm gián điệp hay cố tình phá hoại
2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không?
-Theo em thì thiêt hại lớn nhất là dữ liệu, sau đó là mọi người mất đi một kênh thông tin để trao đổi.
3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?
"mitigate risks"
-Phần cứng: luôn có cách phương án cung cấp điện, thiết bị đường truyền internet dự phòng.
-Phần mềm: cập nhật lỗ hổng, backup dữ liệu thường xuyên.
-Quy chế & Con người: hoạt động và tuyển chọn dựa trên những quy tắc chặt chẽ được xác định sẵn
Theo em thì backup dữ liệu là phương pháp đạt hiệu quả nhiều nhất tính trên công sức bỏ ra |
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:25:36 (+0700) | #7 | 217742 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
@AIO cvhainb nói cũng có lý đó.
@vikjava tư duy của bồ nặng kỹ thuật quá.
@updateloves tư duy risk khá tốt. Tiếp tục phân tích sâu hơn đi.
@all Để làm risk thì phải có trí tưởng tượng phong phú một chút. Có thể GIẢ LẬP nhiều tình huống khác nhau, nhiều nguy cơ khác nhau. |
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:29:24 (+0700) | #8 | 217743 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
updateslove wrote:
Theo em thì backup dữ liệu là phương pháp đạt hiệu quả nhiều nhất tính trên công sức bỏ ra
Three Sysadmin Rules You Can’t (And Shouldn’t) Break -->>Rule #1: Backup Everything ( and validate the backup regularly ) http://www.thegeekstuff.com/2010/07/three-sysadmin-rules/ . Backup là vấn đề được đề cập hầu hết trong tất cả các cuốn sách, sau khi hướng dẫn thiết lập hệ thống. |
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:30:47 (+0700) | #9 | 217744 |
cvhainb
Member
|
0 |
|
|
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:42:19 (+0700) | #10 | 217746 |
|
vikjava
Elite Member
|
0 |
|
|
Joined: 28/06/2004 02:32:38
Messages: 926
Location: NQN
Offline
|
|
louisnguyen27 wrote:
@vikjava tư duy của bồ nặng kỹ thuật quá.
Thật sự mình chưa tiếp xúc hoặc đọc, hiểu về risk management. Tuy nhiên theo mình RISK bao gồm những thứ thấy đươc và có thể không thấy được. Tuỳ thuộc vào vị trí người đưa ra nhận định về RISK. Mình đứng trên cương vị là một người quản lý server HVA
|
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:43:00 (+0700) | #11 | 217747 |
|
H3x4
Member
|
0 |
|
|
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
|
|
Em cũng nghĩ như updateslove, tuy nhiên em phân vân về việc các risk mà HVA có thể gặp phải, bởi vì những risk như lỗ hổng mới hay update chưa kịp thì vẫn có cách "đánh chặn" từ xa. Lấy thí dụ như các cơ chế bảo vệ mặc dù có lỗ hổng trên đó vẫn khó lòng tấn công được (NX,ASLR,ASCII-ARMOR), thêm vào đó là các cơ chế điều khiển quyền truy cập.
Như vậy giả sử như HVA đã được phòng thủ tới mức cho dù các application chạy trên nó có lỗi thì cũng không thể tấn công được thì có đem nguy cơ đó liệt kê vào risk không?
Một cái risk khác là các admin quá giỏi , người ta nói người càng giỏi mà làm việc xấu thì nguy hại còn gấp hàng ngàn lần, cho nên em nghĩ đó cũng là một cái risk.
Về thiệt hại có thể có thì em xin bổ sung thêm vào đó là một khi kẻ xấu tấn công xong hva có thể dựa vào đó mà cài đặt backdoor để lấy thông tin của các quản trị viên hay thành viên ở diễn đàn này. Dựa vào đó rất có thể sẽ tấn công sang các công ty/hệ thống mà các thành viên ở hva này đang tham gia/quản lí.
Thêm vào đó còn một thiệt hại phi vật chất nữa đó là HVA giống như một bức tường kiên cố của white hat trước blackhat, nếu như nó bị sụp đổ thì rất nhiều niềm tin sẽ bị mất đi và tổn thất đó thì khó mà đo lường được.
Về biện pháp em nghĩ hầu hết các biện pháp tốt nhất đã được các anh hiện thực rồi. Tuy nhiên về quan điểm cá nhân em sẽ thực hiện một số biện pháp như:
-Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva.
-Thực hiện các giải pháp "đánh chặn" như em nói ở trên.
-Hạn chế tối đa việc rò rỉ thông tin ngay cả khi hva bị thoả hiệp.
|
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:47:21 (+0700) | #12 | 217748 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
vikjava wrote:
Thật sự mình chưa tiếp xúc hoặc đọc, hiểu về risk management. Tuy nhiên theo mình RISK bao gồm những thứ thấy đươc và có thể không thấy được.
Nên mình mới nói trí tưởng tượng phải phong phú một chút.
H3x4 wrote:
-Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva.
Chỗ này có một risk khác. |
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 09:51:15 (+0700) | #13 | 217749 |
|
H3x4
Member
|
0 |
|
|
Joined: 02/04/2009 00:03:16
Messages: 242
Offline
|
|
louisnguyen27 wrote:
H3x4 wrote:
-Chỉ có 1 người duy nhất nằm quyền "sinh sát" cho hva.
Chỗ này có một risk khác.
Dạ đúng là nó có risk, nhưng mà nếu để nhiều người nắm quyền thỉ em nghĩ risk sẽ cao hơn . Do vậy giải pháp của em là 1 hoặc cùng lắm là 2 người! |
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 10:03:16 (+0700) | #14 | 217751 |
|
AIO
Member
|
0 |
|
|
Joined: 21/02/2008 23:44:02
Messages: 127
Offline
|
|
louisnguyen27 wrote:
@AIO cvhainb nói cũng có lý đó.
@louisnguyen27 : những câu "trả lời" chung chung "thường khá rộng" và "dễ đúng". |
|
chẳng ai nghĩ gì về mình cả |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 10:20:17 (+0700) | #15 | 217753 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
H3x4 wrote:
Do vậy giải pháp của em là 1 hoặc cùng lắm là 2 người!
Vậy trong trường hợp 1 người thì Risk của nó là gì? 2 người thì risk là gì??? |
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 10:24:21 (+0700) | #16 | 217754 |
cvhainb
Member
|
0 |
|
|
Joined: 04/01/2007 14:32:38
Messages: 251
Offline
|
|
AIO wrote:
louisnguyen27 wrote:
@AIO cvhainb nói cũng có lý đó.
@louisnguyen27 : những câu "trả lời" chung chung "thường khá rộng" và "dễ đúng".
@AIO: Có đọc câu hỏi lại của tớ không thế ? Sao không trả lời câu hỏi của tớ kìa: Tại sao tớ lại trả lời chung chung ? . Đừng làm loãng chủ đề.
@all: Đó là vấn đề khi có một câu hỏi chung chung, risks thì quá nhiều (một diễn đàn như HVA thì càng nhiều) mà trong khi anh commale không đưa ra một vấn đề cụ thể vì thế đôi khi mình cần phải trả lời câu hỏi để làm xuất hiện vấn đề cụ thể, khi có vấn đề cụ thể sẽ có giải pháp.
|
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 10:29:54 (+0700) | #17 | 217755 |
newbieProIT
Member
|
0 |
|
|
Joined: 14/04/2009 20:14:14
Messages: 68
Offline
|
|
conmale wrote:
1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?
2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không?
3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?
1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?
Nguy cơ đâu tiên là liên quan đến uy tín của 'thương hiệu' HVA . Không cần nói cũng biết hvaonline.net là cái tên uy tín nhất trong các diễn đàn ở Việt Nam. Nếu một ngày BQT xảy ra bất đồng, lục đục nội bộ, tranh dành quyền lực ... thì chắc chắn sẽ ảnh hưởng không nhỏ đến uy tín của HVA. Hay như việc HVA bị hack, DDOS cũng vậy. (Cái này chỉ là giả sư thôi nha, đừng chém em ).
Thêm nữa, đó 'risks' tiềm ẩn trong mọi vấn đề liên quan đến 'tài sản' quan trong nhất của HVA là database. Từ đó có thể suy ra được nhiều risk:
+ Lỗi/lỗ hổng liên quan trực tiếp đến DBMS cũng như vận hành nó. Lỗi liên quan đến giải thuật cũng có thể làm hỏng DB, hay lỗ hổng bị exploit cũng có nguy cơ dẫn đến bị drop DB. Lỗi vận hành thì liên quan trực tiếp đến admin, một thao tác bất cẩn của admin có thể làm mất mát data.
+ Nguy cơ liên quan đến phần cứng. Nhất là về đĩa cứng, nơi lưu trữ dữ liệu.
+ Nguy cơ liên quan đến phần mềm: Các nguy cơ liên quan đến OS và các services của nó.
+ ... (Cái này là để em suy nghĩ thêm )
Thêm mấy risks có vẻ xa vời, nhưng không có nghĩa là không có . Chẳng hạn như cháy nhà, động đất ... tại nơi đặt server của HVA. Có đợt em đọc báo thấy một trung tâm nghiên cứu khoa học vì hoả hoạn mà mất 2TB dữ liệu, công sức nghiên cứu của một trung tâm đi tong.
2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không?
Bị tấn công, cũng giống như trong một cuộc chiến tranh, dù ít nhiều, ai thắng thua đều bị thiệt hại.
Phạm trù tấn công ở đây hiểu theo nghĩa rộng có thể là tấn công vào con người, quan hệ giữa các thành viên (nhất là BQT) hoặc là tấn công vào các phần mềm, phần cứng đang vận hành HVA.
Nếu cuộc tấn công gây ảnh hưởng lớn đến hình ảnh HVA thì việc lấy lại nó sẽ không dễ tí nào. Về mặt này có thể thiệt hại hơn nhiều so với tấn công vào database.
Nếu xét về tấn công liên quan đến database, thiệt hại lớn nhất là mất dữ liệu mà không thể khôi phục được do không có phương án dự phòng. Cái này thì chắc HVA đã dự phòng từ lâu.
Nhưng cứ giả sử như HVA bị ai đó lấy mất database, kể cả backup
Nếu toàn bộ database của HVA bị mất, thì hệ luỵ của nó đương nhiên là HVA phải bắt đầu lại từ đầu, công sức xây dựng đóng góp của các thành viên cả chục năm trời biến mất.
Thiệt hại là có thể quy ra giá trị vật chất lẫn tinh thần
3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?
Như em nói về các nguy cơ ở trên. Các biện pháp tối thiểu phải có:
+ Luôn bảo vệ và phát triển hình ảnh của HVA
+ Backup database và lưu trữ không chỉ ở một nơi
PS: Vài lời chém gió của newbie, có gì sai các anh thông cảm |
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 11:00:03 (+0700) | #18 | 217759 |
|
louisnguyen27
Member
|
0 |
|
|
Joined: 12/08/2008 18:04:41
Messages: 321
Offline
|
|
cvhainb wrote:
risks thì quá nhiều
Vấn đề ở chỗ thu hẹp phạm vi kiểm soát như thế nào???
newbieproit wrote:
Thêm nữa, đó 'risks' tiềm ẩn trong mọi vấn đề liên quan đến 'tài sản' quan trong nhất của HVA là database
Còn các tài sản khác ??? Tài sản là một khởi đầu tốt cho việc đánh giá risk.
newbieproit wrote:
Luôn bảo vệ và phát triển hình ảnh của HVA
Cái này không phải là biện pháp, mà là policy.
|
|
Q+SBtZW1iZXIgb2YgSFZ+B
Back to Linux soon!!! |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 11:00:51 (+0700) | #19 | 217760 |
|
lQ
Moderator
|
Joined: 29/03/2005 17:06:20
Messages: 494
Offline
|
|
Bác louis có lẽ khá rành ISMS. Nhờ bác liệt kê các bước cho đúng quy trình để hoàn tất câu 1 của anh conmale. Làm như các post nói trên, thể nào cũng đưa thiếu risk.
|
|
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 11:32:29 (+0700) | #20 | 217763 |
|
Jino_Hoang
Member
|
0 |
|
|
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
|
|
1. HVA có "risks" không? Nếu có, những "risks" ấy là gì?
* HVA không chỉ có Risk mà còn có rất nhiều Risk. Các risk này dù xẩy ra như thế nào thì theo cháu nó cũng bắt nguồn từ các yếu tố là con người và vật chất.
- Con người thì bao gồm có người của HVA và các thành phần thù hằn chống phá. Yếu tố con người là quyết định tới các risk này. Có thể kể đến là người của HVA cấu hình các thứ của Forum hay Server bị sai, khiến cho các lỗ hổng bị khai thác, hay có người phản bội và đi theo một con đường khác, làm lộ các thông tin bí mật trong nội bộ HVA. Các thế lực thù địch thì luôn tìm mọi cách gây khó dễ cho HVA, tấn công, phá hoại, bêu xấu, tung tin đồn thất thiệt... Từ những nguy cơ này sẽ dẫn tới nhiều nguy cơ khác như là:
+ Về vật chất thì server HVA bị huỷ hoại, không thể tiếp tục hoạt động, mất Database,...
+ Về tinh thần thì HVA không còn được mem bơ tin tưởng nữa, đi vào ngõ cụt trong đường nối hoạt động, nhiều thông tin bị lộ khiến cho các điều hanh viên hoặc 1 số thành viên chủ chốt gặp nhiều rắc rồi...
- Yếu tố vật chất có thể kể đến như các phần cứng, phần mềm của HVA vị xuống cấp, có nhiều lỗi bảo mật phát sinh, bị khai thác hay bị tấn công từ nhiều nguồn khiến cho server không thể chống trả được. Nói vậy nhưng điều này là ít có khả năng xảy ra.
Như vậy từ cái này có thể rút ra cái risk lớn nhất mà HVA gặp phải là yếu tố con ngươì. Đừng quá thiên về vật chất hay kỹ thuật vì con người quyết định những cái đó.
2. Thiệt hại lớn nhất nếu HVA bị tấn công là gì? Có thể quy ra giá trị vật chất không?
* Thiệt hại lớn nhất của HVA khi bị tấn công sẽ là yếu tố con người, vì HVA hình thành và hoạt động trên tinh thần chia sẻ kiến thức, kinh nghiệm giữa con người với con người. Yếu tố con người ở đây là lòng tin vào những người điều hành của HVA, khả năng kĩ thuật của mỗi người, rồi sẽ dẫn đến nhiều việc mâu thuẫn nội bộ. Còn nếu quy ra vật chất thì nó cũng chẳng đáng là bao vì theo cháu khi HVA bị tấn công sẽ chỉ tổn hại về phần mềm và dữ liệu chứ phần cứng thì không ảnh hưởng gì nhiều. Kể cả Data của HVA Forum bị phá huỷ cũng không quan trọng nắm vì đa số các bài viết hay hoặc có giá trị đều được leech qua rất nhiều nơi trên Internet. Mà đa phần thì Data đã được backup thường xuyên. Còn về thành viên thì có thể đăng kí lại được
3. Nếu có thể quy ra giá trị vật chất (nếu HVA bị thiệt hại), trong hoàn cảnh hoạt động phi lợi nhuận và hoàn toàn thiện nguyện, HVA có thể "mitigate risks" bằng những biện pháp nào khả thi nhất và hữu lý nhất?
* Nếu quy ra vật chất thì HVA chỉ còn cách là là khôi phục lại hoạt động của các tên miền, máy chủ, các phần mềm và cuối cùng là data và forum. Rồi từ sai đó sẽ rút ra nhiều kinh nghiệm, bài học sương máu và sẽ bảo mật tốt hơn trước chứ không dám nói là bất khả chiến bại.
|
|
Đã Trở Lại - Ăn Hại Hơn Trước |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 12:18:12 (+0700) | #21 | 217766 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
I.HVA có risk. Quy về các yếu tố có thể nhận biết được
1. Con người biết tới HVA. Hoạt động gây hại của con người có thể biết tới được bao gồm :
a. Tấn công trực tiếp vật lý : tấn công từ chối dịch vụ, phá hoại máy chủ phân giải tên miền, hack tên miền, phá hoại cơ sở hạ tầng định tuyến traffic tới HVA, ...
b. Hoạt động giao tiếp vô ý thức hoặc thiếu ý thức làm HVA trở thành bãi rác,lệch mục tiêu hoạt động, làm mất sự lôi cuốn,.... bằng cách tham gia trao đổi không theo định hướng của diễn đàn.
2. Thiết bị vật chất hữu hình để đảm bảo HVA tồn tại trên mạng internet : Server host web,database, dns server phân giải tên miền....
Những yếu tố này không được duy trì hoặc bị con người/yếu tố tự nhiên làm cho hư hại.
II. Thiệt hại.
Tài sản có giá trị HVA có được cũng phân thành hai loại hữu hình và vô hình. Từ đó người ta có thể quy ra giá trị quy đổi được bằng tiền bạc, và có thể đo lường thiệt hại.
Tài sản hữu hình
1. Hệ thống cơ sở dữ liệu có được từ lúc mới thành lập cho tới lúc bị phá hư toàn bộ.
2. Môi trường mạng để con người giao tiếp với nhau,thông qua diễn đàn mạng HVA. Đã kể trên.
2. Con người tham gia vào HVA. Quản lý,thành viên, người xem.
Tài sản vô hình
1. Mối quan hệ giữa con người có được từ lúc mới thành lập HVA cho tới lúc diễn đàn tàn lụi.
2. Tinh thần hoạt động có được từ lúc mới thành lập cho tới lúc HVA tàn lụi.
3. Uy tín của tổ chức trên xã hội mạng.
Vậy thiệt hại có thể có là loại hữu hình. Nhưng nó không phải lớn nhất. Vì loại hữu hình có thể được ai đó lưu lại bằng cách backup vật lý hoặc nhớ trong đầu. Kể cả trong trường hợp tấc cả lưu trữ vật lý không còn nữa,người ta đã rút được kinh nghiệm bài học từ những gì có trong database của HVA thành của mình. Thiệt hại hữu hình thể hiện ở chổ , người đi sau không có chổ để xem lại những gì mà HVA có được dưới dạng chữ viết, không có môi trường vật lý chung để giao tiếp.
Giá trị lớn nhất của HVA ở loại "vô hình" nói trên. Đối với những người không có văn hoá, kiến thức và tư duy suy nghĩ tiến bộ thì HVA không có giá trị. Tui nói vậy cho dễ hiểu.
Nếu có thiệt hại lớn nhất thì đó là giá trị vô hình. Giá trị này không thể quy đổi bằng giá trị vật chất.
III. Tới ngang đây thì tui thấy các chú bác quản lý đã làm đó giờ trong trường hợp HVA bị thiệt hại quy ra vật chất được.
Quản lý vẫn duy trì hoạt động của HVA cho dù bị tấn công từ chối dịch vụ, bị hack tên miền, bị phá hư database,bị phá hoại uy tín.
Thành viên tiến bộ vẫn tham gia HVA.
PS: Quên trình bày các phuơng thức "mitigate risks" có thể biết được theo ý kiến riêng.
Quản lý điều hành HVA tạo ra các hướng hoạt động có ích như trước tới giờ, không xen vào các hoạt động "gây hại có mục đích để trục lợi bất hợp pháp".Đồng thời họ phải quản lý hoạt động diễn đàn theo quy định thật chặc chẻ.
Quản lý và thành viên đừng nhậu nhẹt bê tha,đừng sài/tồn trữ/buôn bán chất kích thích, đừng làm gì đó quá sức, đừng lười tập thể dục. Do đó mọi người có sức khoẽ tốt, tinh thần minh mẫn để quản lý hoạt động, để hoạt động tốt.Để còn đi làm sinh lợi nhuận để duy trì HVA.
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 12:40:10 (+0700) | #22 | 217767 |
|
Jino_Hoang
Member
|
0 |
|
|
Joined: 09/04/2009 13:58:10
Messages: 239
Location: Mạng Internet
Offline
|
|
Có rất nhiều ý kiến nhưng xem ra HVA có rất nhiều Risk hơn mọi người tưởng tượng! |
|
Đã Trở Lại - Ăn Hại Hơn Trước |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 12:48:10 (+0700) | #23 | 217768 |
|
gamma95
Researcher
|
Joined: 20/05/2003 07:15:41
Messages: 1377
Location: aaa">
Offline
|
|
Cái risk lớn nhất là dạo này nhiều member nói phét ghê quá, khiến các admin mất rất nhiều thời gian để nhắc nhở và xoá bài, lock nick ... khiến cho họ bỏ bê khá nhiều thời gian lẽ ra nên dành cho nghiên cứu kỹ thuật và theo dõi log, kiện toàn hệ thống. Tận dụng điều đó hacker có thể làm 2 việc:
- đăng kí nick để chọc tức ban quản trị, hay phán nhiều cái chẳng đầu chẳng đuôi
- trong lúc đó âm thầm chọc HVA
|
|
Cánh chym không mỏi
lol |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 12:50:08 (+0700) | #24 | 217769 |
|
conmale
Administrator
|
Joined: 07/05/2004 23:43:15
Messages: 9353
Location: down under
Offline
|
|
Bà con tham gia xôm tụ quá . Vẫn chưa thấy ai đề cập đến khía cạnh "risk" ở chỗ HVA forum vẫn còn tồn tại nhưng lại... chết vì nó chẳng còn giá trị và ích lợi gì cả. Cái risk này có không? và để "mitigate" nó thì cần làm gì? |
|
What bringing us together is stronger than what pulling us apart. |
|
|
|
[Discussion] Case study: HVA forum và "risk management" |
06/08/2010 13:27:35 (+0700) | #25 | 217771 |
|
tmd
Member
|
0 |
|
|
Joined: 28/06/2006 03:39:48
Messages: 2951
Offline
|
|
gamma95 wrote:
Cái risk lớn nhất là dạo này nhiều member nói phét ghê quá, khiến các admin mất rất nhiều thời gian để nhắc nhở và xoá bài, lock nick ... khiến cho họ bỏ bê khá nhiều thời gian lẽ ra nên dành cho nghiên cứu kỹ thuật và theo dõi log, kiện toàn hệ thống. Tận dụng điều đó hacker có thể làm 2 việc:
- đăng kí nick để chọc tức ban quản trị, hay phán nhiều cái chẳng đầu chẳng đuôi
- trong lúc đó âm thầm chọc HVA
conmale wrote:
Bà con tham gia xôm tụ quá smilie . Vẫn chưa thấy ai đề cập đến khía cạnh "risk" ở chỗ HVA forum vẫn còn tồn tại nhưng lại... chết vì nó chẳng còn giá trị và ích lợi gì cả. Cái risk này có không? và để "mitigate" nó thì cần làm gì?
Tại mr Conmale không nói tới cái risk này ngay từ đầu, cho nên toàn bộ reply không có ai nói tới cái này.
Nguồn gây ra risk này được chị gà mờ liệt kê ra một phần. Member hiện này chưa tự nhận biết lợi ích HVA đem lại, chỉ biết lợi dụng giá trị của HVA vào hoạt động phá hoại vặt. Hay member xem diễn đàn HVA là chổ tạo topic phô diễn tài năng copy,xào, chế bậy bạ, hoặc quảng cáo cho kỹ năng "hack",... hoạt động tiêu cực tuơng tự để thể hiện cái tôi. Hoặc member và quản lý có nhiều chuyện để lo hơn là chuyện giao tiếp trên diễn đàn HVA.
Em đoán mr conmale đang nói tới các loại risk này.
PS: chị gà mờ cho em nói phét vài cái. RISK mà mr Conmale nói tới có thể hiểu nôm na là "chỉ biết XIN để người ta CHO, nhưng không bao giờ CHO lại" , cái risk con của cái RISK này là "CHO những cái vô ích"
|
|
3 giai đoạn của con... người, ban đầu dek biết gì thì phải thăm dò, sau đó biết rồi thì phải thân thiết, sau cùng khi quá thân thiết rồi thì phải tình thương mến thương. Nhưng mà không thương được thì ... |
|
|
|
|