[SOC #3]由簡入繁，威脅應變資訊層層揭露

當有意打造威脅應變管理中心(TRC)的組織機構，希望在15分鐘內，瞭解他們未來將看到的視覺化管理效果時，Novell會採取一套階層式監控管理圖面，透過由簡入繁的圖形資訊深度，讓客戶輕鬆想像、理解、進而重新配置適當的資安應變流程。

新一代的TRC有兩個特點：一是採取階層方式揭露資訊，二是進行網路資安訊息的關聯式分析。本期，我們先談談這種階層式資訊的揭露，將如何有效率地即時發出事端警報，讓管理者採取必要的應變行動。

我們假設某個組織機構的總營運管理處，統管所有分支據點的資安和網路維營運系統，包括數十個外部據點。當一開始建立TRC管理作業入口後，管理者可依照作業需求設定專屬作業儀表板，當中包括網址查詢、網路區域代號，網路障礙查詢、顯示地區內網路障礙資訊、即時圖形化日期資訊、地址地圖資訊查詢等。

這個儀表板讓管理者能快速掃描基本的作業資訊。接著，進入網路事端監控介面。你可以在儀表板上設定全域監控範圍事端的更新時間，每件事端都有它的名稱、詳細內容、處理狀態，也能結合地理資訊機制，設定地圖的縮放、地圖型式和資訊比例等，甚至連事端資產所在的樓層也能清楚標示。

以地圖資訊為例，當游標點到亮紅燈的事端處，舉凡所屬機構、資產類別(主機)、使用者單位和業務屬性等資訊，立即清楚顯示。有任何維護問題，電話號碼和聯絡人的資料也都在跳出框內，可立即連繫，一點都不會耽擱。

此外，當想要管理和偵測障礙時，一覽無遺的組織網路架構，能讓管理者清楚透過狀態圖示和顏色，得知網路區域內設備、主機、服務及線路的運作狀態。同時，也可從下拉式表單內選擇網路區域代號，查詢網路障礙。一旦選定目標，直接移動滑鼠選擇縮小地圖方塊，便能放大顯示地區內的網路障礙資訊。

這種類似剝洋蔥般的管理介面呈現，其實就是把設備系統與技術、維運組織和作業流程三大元素，融合到TRC的管理範疇，讓整體網路維運暨安全防護管理層次更加完善、防護範圍更加廣泛，進而提高整體資訊安全及網路運作的可靠度。

[SOC #2]視覺化技術當道，從源頭提升資安戰備力

以圖形為主的互動式人因介面，已躍為各類商品的視覺操作主流。人們從智慧型手機或小筆電，輕鬆觀看搭配適當色彩和尺寸的圖面，讓資訊一目了然。這股「有看頭」的風潮，也吹入資安管理領域。

Novell預定2009年啟動的威脅管理中心(TRC)服務，就展多樣的視覺化技術，讓客戶彈性規畫想收集的系統資訊，包括主機記錄、防火牆、防毒、網路流量與稽查、應用系統存取，甚至機房的溫濕度等資訊。這種作業資訊收集的廣度，唯有在企業自主管理的前提下才能輕鬆易達成。

超級電腦等級的MQ做後盾

這類視覺化管理有三個建置步驟：收集即時資料，進行資料的關聯比對，最後把分析的結果以視覺化圖面呈現。其中，資料的收集要結合組織流程才能落實全方位資安管理。為避免客戶購買太多流程管理軟體衍生的複雜性和高昂成本，Novell直接把流程管理的功能納入Sentinel方案內。

要高效率處理大規模事件的分析和比對作業，需要透過有效的資料壓縮技術過濾和分類。Novell採用了超級電腦等級的即時運算核心技術──Sentinel SONIQ MQ架構。這種非同步資料傳輸技術屬於交易平台等級的運算威力，特點是「高速運算、關聯分析、即時比對」。

採用即時交易技術收集資料的好處，在於「不再是個黑箱作業」。因為視覺化在事件的源頭就開始呈現。例如，當資料收集的設備經過哪些正規原件處理、最後進入哪些系統、狀態如何，也能知道原始資料的傳輸筆數、有否遺漏等資訊。

三類角色，視覺圖面各有不同

在即時分析結果的圖面呈現方面，又分為標準管理作業人員、進階分析人員和高階主管三種角色，各有所需。標準作業人員(即原有網管者)最常要看的是燈號變化──斷線亮紅燈、流量增大轉黃燈、正常又變回綠燈。他們操作的管理平台上通常會出現多個視窗，包括即時通報訊息、各種儀表板警訊、標準作業規範的資料庫等。

而進階分析人員就需要多維度分析工具，可以是Web瀏覽器或Java程式。舉例，分析人員可以比對每筆連線資料、電腦設備資源的利用率、網路流量。只要移動滑鼠拖拉，就能隨時切換想要分析的時間間隔，統計資訊會隨著時間的改變，以長條、線條、圓餅、甚至百分比的方式呈現。當然這些資料的傳輸都經過加密處理。

高階主管要看甚麼？想知道獲利，也要知曉成本、甚至損失。例如，公司承租的網路線路當有斷線時，就意味著金錢的損失。於是我們就從設備的平均使用年限攤提計算，獲得一筆數據，並以圖形呈現。當高階主管能夠透過視覺化圖面，了解各種系統可用性的指標和狀況，意即掌握企業服務的狀況，也有能力即時回應終端客戶的客訴，進而增進服務品質。

綜言之，當今的視覺化資安管理可從源頭開始，循線把內部作業相關的軟硬體使用狀況，針對不同管理角色的職務和權限條件，分別以適當的圖面表現，進而助於掌握企業服務的水準狀況。