Symantec-DLP風險評估問題調查表

第3頁共7頁SymantecDLP風險評估問題調查表編輯：JackyBo（薄一峰）第一階段：全局部分問：貴公司大約有多少客戶終端？答：問：在事件報告發(fā)生后，是否需要及時響應的機制？答：問：是否需要將響應的機制整合到工作流中？例如：郵件工作流。答：網(wǎng)絡出口部分問：公司內部是否有郵件服務器？如果有，是什么郵件服務器？版本號？答：問：公司內部是否有上網(wǎng)的代理服務器？如果有，是什么代理服務器？版本號？答：問：郵件服務器和代理服務器是否通過同一個網(wǎng)絡出口向外Internet發(fā)送信息？答：問：如果是一個Internet出口，帶寬是多少？如果是2個Internet出口，帶寬分別是多少？答：問：有幾臺郵件服務器向Internet發(fā)信？是否有負載均衡和冗余？答：問：有幾臺代理服務器向Internet發(fā)送請求？是否有負載均衡和冗余？答：問：終端如果要通過軟件發(fā)郵件，是不是只能通過公司內部的郵件服務器？答：問：VontuMonitor是通過端口鏡像的方式來旁路監(jiān)聽SMTP和HTTP的流量。Monitor連接的交換機端口是否可以監(jiān)聽到所有的SMTP流量？答：問：Monitor連接的交換機端口是否可以監(jiān)聽到所有的HTTP流量？答：問：希望達到的效果？答：終端部分問：終端電腦上共有哪些操作系統(tǒng)？版本號？答：問：是否有USB接口可以將文件COPY到U盤？答：問：是否有終端離線控制的要求？答：問：希望達到的效果？答：內部服務器和存儲部分問：有哪些操作系統(tǒng)的文件共享服務器？答：問：有哪些應用服務器？答：問：是否需要對服務器上的文件的內容做掃描，然后了解在對應服務器或者整個網(wǎng)絡內的服務器上，機密信息是如何存放的（可以有柱狀圖和餅圖說明）？答：問：在發(fā)現(xiàn)對所有人共享的文件夾中，如果有機密文件存在，是否需要將其隔離到指定的安全服務器？答：第二階段：在RA前需要準備的事項確認RA的服務器已經(jīng)連接好了電源，網(wǎng)線和顯示器確認RA服務器上的終端服務/RDP訪問可以正常連接確認可以在企業(yè)內部訪問外部的WWW，來模擬SymantecDLP需要檢測的流量確認RA服務器不會收到防火墻的訪問限制，相關的訪問權限在防火墻上都需要開放如果在Enforce和Detection服務器（Monitor/Discover/Endpoint）之間有防火墻，請打開端口8100需要的信息問題答復你將提供給RA服務器動態(tài)的IP嗎？如果是靜態(tài)的IP，請在此輸入對應服務器的IP/子網(wǎng)掩碼/網(wǎng)關信息

RA服務器安裝的位置？（機房？/測試房間？/辦公室？）Monitor服務器需要安裝在SPAN（網(wǎng)絡端口鏡像）的地方請在工程師進入前先準備好IP地址，設定好SPAN口。（如果到時候再需要進行流程審批，可能會等待很長時間）

NetworkMonitor下面是NetworkMonitor的架構。NetworkMonitor一般安裝在DMZ的位置，可以監(jiān)控到企業(yè)內部所有重要通訊協(xié)議（SMTP，HTTP，F(xiàn)TP，IM，等）的出口流量?？蛻粜枰獪蕚浜脤腟PAN端口，來讓Monitor服務器捕獲網(wǎng)絡出口流量。在進行MonitorRA前，客戶需要準備的工作已經(jīng)將下面相關信息的調查表的反饋發(fā)送到Symantec工程師這邊確認Monitor的服務器安裝在端口鏡像的地方，方便連線已經(jīng)預先配置好SPAN口，并且已經(jīng)經(jīng)過測試來確認可以獲得正確的數(shù)據(jù)包確認DMZ的防火墻已經(jīng)開啟3389端口來允許遠程對Monitor服務器的訪問控制最好不要通過HUB來將流量分到Monitor（可能會造成數(shù)據(jù)丟失現(xiàn)象）需要提供的NetworkMonitor信息問題答復有多少網(wǎng)絡出口需要被監(jiān)控？（一般來說，只有一個網(wǎng)絡出口）

監(jiān)控服務器的網(wǎng)卡是什么信號的？10/100M？1000M？還是光纖？您是在網(wǎng)絡出口的交換機上做SPAN口，將流量傳送到Monitor服務器的嗎？

被傳送到Monitor服務器的網(wǎng)絡流量大概是多少Mb/s？最高峰值是多少Mb/s？平均流量是多少Mb/s？由于Monitor服務器將會捕獲所有的流量，是否需要在預先做好SPAN的設定過濾，只監(jiān)控從內往外發(fā)送的流量？大約監(jiān)控的員工人數(shù)是多少？（如果監(jiān)控的范圍很小，可能不能很好的顯示出風險評估的效果）

NetworkDiscover以下是NetworkDiscover的架構。NetworkDiscover位于企業(yè)的數(shù)據(jù)中心位置，對數(shù)據(jù)倉庫進行掃描來發(fā)現(xiàn)敏感信息。在你的RA過程中，NetworkDiscover/Protect可能會和Enforce同一臺服務器，并且使用同一個ip地址。在進行DiscoverRA前，客戶需要準備的工作已經(jīng)將以下調查問題的答案發(fā)送給Symantec工程師已經(jīng)定位很多“高風險”的Wndows/Linux共享文件夾，能夠通過CIFS/SMB很方便的掃描這些文件夾，同時將被掃描的數(shù)據(jù)定位與同Discover同一位置的數(shù)據(jù)倉庫，來保證快速掃描和最小化對帶寬的影響。已經(jīng)準備好管理員權限的身份驗證信息，并且能夠具有充分的權限，來保證最大的數(shù)據(jù)發(fā)現(xiàn)能力。確認Discover的RA服務器將被安裝在防火墻后面的企業(yè)網(wǎng)絡中。確認端口445（CIFS）和2049（NFS）在防火墻上已經(jīng)開放，確保Discovr可以通過這些端口訪問目標服務器，因為他們會在Discover掃描過程中被使用。需要提供的NetworkMonitor信息問題目標1目標2目標3掃描的目標類型（文件服務器，數(shù)據(jù)庫，等），包括操作系統(tǒng)，安裝的應用。

文件路徑和ip地址管理員權限的能夠進行“讀/寫”的身份驗證信息大約有多少GB的數(shù)據(jù)目標服務器是否和Discover服務器在同一個數(shù)據(jù)中心/網(wǎng)絡？如果不是，該目標服務器在什么位置？可選：目標服務器上主要有哪些類型的文件，文件大小的范圍大概是多少？

可選：在Discover服務器和目標服務器之間的帶寬是多少？（掃描程序需要在帶寬繁忙時間段停止運行嗎？）

EndpointPrevent/Discover以下是EndpointPrevent/Discover的架構。EndpointPrevent/Discover由位于企業(yè)數(shù)據(jù)中心的，和DLP客戶端進行通訊的終端服務器組成。這些DLP客戶端程序能夠監(jiān)控/阻止離開終端電腦的企業(yè)數(shù)據(jù)，也可以發(fā)現(xiàn)存儲在終端電腦的內置驅動器上的敏感信息。在你的RA過程中，EndpointPrevent/Discover可能和Enforce在同一臺服務器上，并且使用同一個ip地址。注意：大部分的終端評估都限于在10個客戶端程序以內的技術評估，來測試一些基本的客戶端功能，而不是真正的風險評估。針對在RA過程的限制，Monitor和Discover更加容易快速的/全面的評估風險。在進行Endpoint評估前，客戶需要準備的工作已經(jīng)將以下調查問題的答案發(fā)送給Symantec工程師已經(jīng)同意在評估過程中具體的數(shù)量和類型的終端電腦確認在RA中的EndpointServer將安裝在防火墻后面的企業(yè)網(wǎng)絡中將配置他們的桌面安全軟件來使得我們的客戶端程序沒有影響的運行?；蛘吒纱嘞葎h除這些可能具有影響的客戶端安全軟件。確認在客戶端防火墻上的8000端口已經(jīng)開放，該端口用來進行DLP客戶端和服務器之間的通訊。需要提供的EndpointPrevent/Discover信息問題答復在評估過程中大約有多少終端電腦？這些終端是在實驗環(huán)境中的，還是真正的員工使用的終端電腦？這些終端電腦是筆記本還是臺式機？終端上的操作系統(tǒng)是什么？（必須是XPSP2，Vista，或者服務器2003）這些終端位于什么位置，并且如何與EndpointServer進行通訊？（在和EndpointServer同一個內部網(wǎng)絡？或者是在其他區(qū)域的網(wǎng)絡中？或者是通過VPN連接的家里的終端？等）請列出在你的終端系統(tǒng)上的所有的第三方安全客戶端軟件（防病毒，防間諜程序，防火墻，HIPS軟件，NAC軟件，等。注意：AV/AS必須被配置成允許我們的客戶端程序運行或者被停止使用）你通過什么桌面管理工具來進行終端的發(fā)現(xiàn)和安裝agent程序？（例如：SMS，Altiris，Tivoli，等）如果是Altiris，是哪一個版本？你計劃通過系統(tǒng)管理工具來部署EndpointAgent還是進行手動安裝？（建議進行特定的手動安裝）你想要測試終端的哪些功能？（終端發(fā)現(xiàn)，硬盤掃描，USB，CD/DVD，email，web，F(xiàn)TP，IM，打印/傳真，拷貝/粘貼，等）

如果有必要，列出需要測試的特定的CD刻錄軟件，郵件客戶端程序，web瀏覽器，IM程序。

ExactDataMatching(EDM：完全數(shù)據(jù)匹配)和IndexDocumentMatching(IDM：索引文檔匹配)

EDM和IDM被用來在策略中進行高精度的檢測。EDM是敏感的結構化數(shù)據(jù)（主要是行和列的形式）的索引（或者指紋）。IDM是敏感的非結構化數(shù)據(jù)（例如：MSOffice的文檔，源代碼，CAD文件，等）的索引。在進行RA前，客戶需要準備的工作已經(jīng)將以下調查問題的答