Symantec-DLP風(fēng)險評估問題調(diào)查表

第3頁共7頁SymantecDLP風(fēng)險評估問題調(diào)查表編輯：JackyBo（薄一峰）第一階段：全局部分問：貴公司大約有多少客戶終端？答：問：在事件報告發(fā)生后，是否需要及時響應(yīng)的機制？答：問：是否需要將響應(yīng)的機制整合到工作流中？例如：郵件工作流。答：網(wǎng)絡(luò)出口部分問：公司內(nèi)部是否有郵件服務(wù)器？如果有，是什么郵件服務(wù)器？版本號？答：問：公司內(nèi)部是否有上網(wǎng)的代理服務(wù)器？如果有，是什么代理服務(wù)器？版本號？答：問：郵件服務(wù)器和代理服務(wù)器是否通過同一個網(wǎng)絡(luò)出口向外Internet發(fā)送信息？答：問：如果是一個Internet出口，帶寬是多少？如果是2個Internet出口，帶寬分別是多少？答：問：有幾臺郵件服務(wù)器向Internet發(fā)信？是否有負(fù)載均衡和冗余？答：問：有幾臺代理服務(wù)器向Internet發(fā)送請求？是否有負(fù)載均衡和冗余？答：問：終端如果要通過軟件發(fā)郵件，是不是只能通過公司內(nèi)部的郵件服務(wù)器？答：問：VontuMonitor是通過端口鏡像的方式來旁路監(jiān)聽SMTP和HTTP的流量。Monitor連接的交換機端口是否可以監(jiān)聽到所有的SMTP流量？答：問：Monitor連接的交換機端口是否可以監(jiān)聽到所有的HTTP流量？答：問：希望達(dá)到的效果？答：終端部分問：終端電腦上共有哪些操作系統(tǒng)？版本號？答：問：是否有USB接口可以將文件COPY到U盤？答：問：是否有終端離線控制的要求？答：問：希望達(dá)到的效果？答：內(nèi)部服務(wù)器和存儲部分問：有哪些操作系統(tǒng)的文件共享服務(wù)器？答：問：有哪些應(yīng)用服務(wù)器？答：問：是否需要對服務(wù)器上的文件的內(nèi)容做掃描，然后了解在對應(yīng)服務(wù)器或者整個網(wǎng)絡(luò)內(nèi)的服務(wù)器上，機密信息是如何存放的（可以有柱狀圖和餅圖說明）？答：問：在發(fā)現(xiàn)對所有人共享的文件夾中，如果有機密文件存在，是否需要將其隔離到指定的安全服務(wù)器？答：第二階段：在RA前需要準(zhǔn)備的事項確認(rèn)RA的服務(wù)器已經(jīng)連接好了電源，網(wǎng)線和顯示器確認(rèn)RA服務(wù)器上的終端服務(wù)/RDP訪問可以正常連接確認(rèn)可以在企業(yè)內(nèi)部訪問外部的WWW，來模擬SymantecDLP需要檢測的流量確認(rèn)RA服務(wù)器不會收到防火墻的訪問限制，相關(guān)的訪問權(quán)限在防火墻上都需要開放如果在Enforce和Detection服務(wù)器（Monitor/Discover/Endpoint）之間有防火墻，請打開端口8100需要的信息問題答復(fù)你將提供給RA服務(wù)器動態(tài)的IP嗎？如果是靜態(tài)的IP，請在此輸入對應(yīng)服務(wù)器的IP/子網(wǎng)掩碼/網(wǎng)關(guān)信息

RA服務(wù)器安裝的位置？（機房？/測試房間？/辦公室？）Monitor服務(wù)器需要安裝在SPAN（網(wǎng)絡(luò)端口鏡像）的地方請在工程師進(jìn)入前先準(zhǔn)備好IP地址，設(shè)定好SPAN口。（如果到時候再需要進(jìn)行流程審批，可能會等待很長時間）

NetworkMonitor下面是NetworkMonitor的架構(gòu)。NetworkMonitor一般安裝在DMZ的位置，可以監(jiān)控到企業(yè)內(nèi)部所有重要通訊協(xié)議（SMTP，HTTP，F(xiàn)TP，IM，等）的出口流量?？蛻粜枰獪?zhǔn)備好對應(yīng)的SPAN端口，來讓Monitor服務(wù)器捕獲網(wǎng)絡(luò)出口流量。在進(jìn)行MonitorRA前，客戶需要準(zhǔn)備的工作已經(jīng)將下面相關(guān)信息的調(diào)查表的反饋發(fā)送到Symantec工程師這邊確認(rèn)Monitor的服務(wù)器安裝在端口鏡像的地方，方便連線已經(jīng)預(yù)先配置好SPAN口，并且已經(jīng)經(jīng)過測試來確認(rèn)可以獲得正確的數(shù)據(jù)包確認(rèn)DMZ的防火墻已經(jīng)開啟3389端口來允許遠(yuǎn)程對Monitor服務(wù)器的訪問控制最好不要通過HUB來將流量分到Monitor（可能會造成數(shù)據(jù)丟失現(xiàn)象）需要提供的NetworkMonitor信息問題答復(fù)有多少網(wǎng)絡(luò)出口需要被監(jiān)控？（一般來說，只有一個網(wǎng)絡(luò)出口）

監(jiān)控服務(wù)器的網(wǎng)卡是什么信號的？10/100M？1000M？還是光纖？您是在網(wǎng)絡(luò)出口的交換機上做SPAN口，將流量傳送到Monitor服務(wù)器的嗎？

被傳送到Monitor服務(wù)器的網(wǎng)絡(luò)流量大概是多少Mb/s？最高峰值是多少Mb/s？平均流量是多少Mb/s？由于Monitor服務(wù)器將會捕獲所有的流量，是否需要在預(yù)先做好SPAN的設(shè)定過濾，只監(jiān)控從內(nèi)往外發(fā)送的流量？大約監(jiān)控的員工人數(shù)是多少？（如果監(jiān)控的范圍很小，可能不能很好的顯示出風(fēng)險評估的效果）

NetworkDiscover以下是NetworkDiscover的架構(gòu)。NetworkDiscover位于企業(yè)的數(shù)據(jù)中心位置，對數(shù)據(jù)倉庫進(jìn)行掃描來發(fā)現(xiàn)敏感信息。在你的RA過程中，NetworkDiscover/Protect可能會和Enforce同一臺服務(wù)器，并且使用同一個ip地址。在進(jìn)行DiscoverRA前，客戶需要準(zhǔn)備的工作已經(jīng)將以下調(diào)查問題的答案發(fā)送給Symantec工程師已經(jīng)定位很多“高風(fēng)險”的Wndows/Linux共享文件夾，能夠通過CIFS/SMB很方便的掃描這些文件夾，同時將被掃描的數(shù)據(jù)定位與同Discover同一位置的數(shù)據(jù)倉庫，來保證快速掃描和最小化對帶寬的影響。已經(jīng)準(zhǔn)備好管理員權(quán)限的身份驗證信息，并且能夠具有充分的權(quán)限，來保證最大的數(shù)據(jù)發(fā)現(xiàn)能力。確認(rèn)Discover的RA服務(wù)器將被安裝在防火墻后面的企業(yè)網(wǎng)絡(luò)中。確認(rèn)端口445（CIFS）和2049（NFS）在防火墻上已經(jīng)開放，確保Discovr可以通過這些端口訪問目標(biāo)服務(wù)器，因為他們會在Discover掃描過程中被使用。需要提供的NetworkMonitor信息問題目標(biāo)1目標(biāo)2目標(biāo)3掃描的目標(biāo)類型（文件服務(wù)器，數(shù)據(jù)庫，等），包括操作系統(tǒng)，安裝的應(yīng)用。

文件路徑和ip地址管理員權(quán)限的能夠進(jìn)行“讀/寫”的身份驗證信息大約有多少GB的數(shù)據(jù)目標(biāo)服務(wù)器是否和Discover服務(wù)器在同一個數(shù)據(jù)中心/網(wǎng)絡(luò)？如果不是，該目標(biāo)服務(wù)器在什么位置？可選：目標(biāo)服務(wù)器上主要有哪些類型的文件，文件大小的范圍大概是多少？

可選：在Discover服務(wù)器和目標(biāo)服務(wù)器之間的帶寬是多少？（掃描程序需要在帶寬繁忙時間段停止運行嗎？）

EndpointPrevent/Discover以下是EndpointPrevent/Discover的架構(gòu)。EndpointPrevent/Discover由位于企業(yè)數(shù)據(jù)中心的，和DLP客戶端進(jìn)行通訊的終端服務(wù)器組成。這些DLP客戶端程序能夠監(jiān)控/阻止離開終端電腦的企業(yè)數(shù)據(jù)，也可以發(fā)現(xiàn)存儲在終端電腦的內(nèi)置驅(qū)動器上的敏感信息。在你的RA過程中，EndpointPrevent/Discover可能和Enforce在同一臺服務(wù)器上，并且使用同一個ip地址。注意：大部分的終端評估都限于在10個客戶端程序以內(nèi)的技術(shù)評估，來測試一些基本的客戶端功能，而不是真正的風(fēng)險評估。針對在RA過程的限制，Monitor和Discover更加容易快速的/全面的評估風(fēng)險。在進(jìn)行Endpoint評估前，客戶需要準(zhǔn)備的工作已經(jīng)將以下調(diào)查問題的答案發(fā)送給Symantec工程師已經(jīng)同意在評估過程中具體的數(shù)量和類型的終端電腦確認(rèn)在RA中的EndpointServer將安裝在防火墻后面的企業(yè)網(wǎng)絡(luò)中將配置他們的桌面安全軟件來使得我們的客戶端程序沒有影響的運行。或者干脆先刪除這些可能具有影響的客戶端安全軟件。確認(rèn)在客戶端防火墻上的8000端口已經(jīng)開放，該端口用來進(jìn)行DLP客戶端和服務(wù)器之間的通訊。需要提供的EndpointPrevent/Discover信息問題答復(fù)在評估過程中大約有多少終端電腦？這些終端是在實驗環(huán)境中的，還是真正的員工使用的終端電腦？這些終端電腦是筆記本還是臺式機？終端上的操作系統(tǒng)是什么？（必須是XPSP2，Vista，或者服務(wù)器2003）這些終端位于什么位置，并且如何與EndpointServer進(jìn)行通訊？（在和EndpointServer同一個內(nèi)部網(wǎng)絡(luò)？或者是在其他區(qū)域的網(wǎng)絡(luò)中？或者是通過VPN連接的家里的終端？等）請列出在你的終端系統(tǒng)上的所有的第三方安全客戶端軟件（防病毒，防間諜程序，防火墻，HIPS軟件，NAC軟件，等。注意：AV/AS必須被配置成允許我們的客戶端程序運行或者被停止使用）你通過什么桌面管理工具來進(jìn)行終端的發(fā)現(xiàn)和安裝agent程序？（例如：SMS，Altiris，Tivoli，等）如果是Altiris，是哪一個版本？你計劃通過系統(tǒng)管理工具來部署EndpointAgent還是進(jìn)行手動安裝？（建議進(jìn)行特定的手動安裝）你想要測試終端的哪些功能？（終端發(fā)現(xiàn)，硬盤掃描，USB，CD/DVD，email，web，F(xiàn)TP，IM，打印/傳真，拷貝/粘貼，等）

如果有必要，列出需要測試的特定的CD刻錄軟件，郵件客戶端程序，web瀏覽器，IM程序。

ExactDataMatching(EDM：完全數(shù)據(jù)匹配)和IndexDocumentMatching(IDM：索引文檔匹配)

EDM和IDM被用來在策略中進(jìn)行高精度的檢測。EDM是敏感的結(jié)構(gòu)化數(shù)據(jù)（主要是行和列的形式）的索引（或者指紋）。IDM是敏感的非結(jié)構(gòu)化數(shù)據(jù)（例如：MSOffice的文檔，源代碼，CAD文件，等）的索引。在進(jìn)行RA前，客戶需要準(zhǔn)備的工作已經(jīng)將以下調(diào)查問題的答