Symantec-DLP风险评估问题调查表

第3页共7页SymantecDLP风险评估问题调查表编辑：JackyBo（薄一峰）第一阶段：全局部分问：贵公司大约有多少客户终端？答：问：在事件报告发生后，是否需要及时响应的机制？答：问：是否需要将响应的机制整合到工作流中？例如：邮件工作流。答：网络出口部分问：公司内部是否有邮件服务器？如果有，是什么邮件服务器？版本号？答：问：公司内部是否有上网的代理服务器？如果有，是什么代理服务器？版本号？答：问：邮件服务器和代理服务器是否通过同一个网络出口向外Internet发送信息？答：问：如果是一个Internet出口，带宽是多少？如果是2个Internet出口，带宽分别是多少？答：问：有几台邮件服务器向Internet发信？是否有负载均衡和冗余？答：问：有几台代理服务器向Internet发送请求？是否有负载均衡和冗余？答：问：终端如果要通过软件发邮件，是不是只能通过公司内部的邮件服务器？答：问：VontuMonitor是通过端口镜像的方式来旁路监听SMTP和HTTP的流量。Monitor连接的交换机端口是否可以监听到所有的SMTP流量？答：问：Monitor连接的交换机端口是否可以监听到所有的HTTP流量？答：问：希望达到的效果？答：终端部分问：终端电脑上共有哪些操作系统？版本号？答：问：是否有USB接口可以将文件COPY到U盘？答：问：是否有终端离线控制的要求？答：问：希望达到的效果？答：内部服务器和存储部分问：有哪些操作系统的文件共享服务器？答：问：有哪些应用服务器？答：问：是否需要对服务器上的文件的内容做扫描，然后了解在对应服务器或者整个网络内的服务器上，机密信息是如何存放的（可以有柱状图和饼图说明）？答：问：在发现对所有人共享的文件夹中，如果有机密文件存在，是否需要将其隔离到指定的安全服务器？答：第二阶段：在RA前需要准备的事项确认RA的服务器已经连接好了电源，网线和显示器确认RA服务器上的终端服务/RDP访问可以正常连接确认可以在企业内部访问外部的WWW，来模拟SymantecDLP需要检测的流量确认RA服务器不会收到防火墙的访问限制，相关的访问权限在防火墙上都需要开放如果在Enforce和Detection服务器（Monitor/Discover/Endpoint）之间有防火墙，请打开端口8100需要的信息问题答复你将提供给RA服务器动态的IP吗？如果是静态的IP，请在此输入对应服务器的IP/子网掩码/网关信息

RA服务器安装的位置？（机房？/测试房间？/办公室？）Monitor服务器需要安装在SPAN（网络端口镜像）的地方请在工程师进入前先准备好IP地址，设定好SPAN口。（如果到时候再需要进行流程审批，可能会等待很长时间）

NetworkMonitor下面是NetworkMonitor的架构。NetworkMonitor一般安装在DMZ的位置，可以监控到企业内部所有重要通讯协议（SMTP，HTTP，FTP，IM，等）的出口流量。客户需要准备好对应的SPAN端口，来让Monitor服务器捕获网络出口流量。在进行MonitorRA前，客户需要准备的工作已经将下面相关信息的调查表的反馈发送到Symantec工程师这边确认Monitor的服务器安装在端口镜像的地方，方便连线已经预先配置好SPAN口，并且已经经过测试来确认可以获得正确的数据包确认DMZ的防火墙已经开启3389端口来允许远程对Monitor服务器的访问控制最好不要通过HUB来将流量分到Monitor（可能会造成数据丢失现象）需要提供的NetworkMonitor信息问题答复有多少网络出口需要被监控？（一般来说，只有一个网络出口）

监控服务器的网卡是什么信号的？10/100M？1000M？还是光纤？您是在网络出口的交换机上做SPAN口，将流量传送到Monitor服务器的吗？

被传送到Monitor服务器的网络流量大概是多少Mb/s？最高峰值是多少Mb/s？平均流量是多少Mb/s？由于Monitor服务器将会捕获所有的流量，是否需要在预先做好SPAN的设定过滤，只监控从内往外发送的流量？大约监控的员工人数是多少？（如果监控的范围很小，可能不能很好的显示出风险评估的效果）

NetworkDiscover以下是NetworkDiscover的架构。NetworkDiscover位于企业的数据中心位置，对数据仓库进行扫描来发现敏感信息。在你的RA过程中，NetworkDiscover/Protect可能会和Enforce同一台服务器，并且使用同一个ip地址。在进行DiscoverRA前，客户需要准备的工作已经将以下调查问题的答案发送给Symantec工程师已经定位很多“高风险”的Wndows/Linux共享文件夹，能够通过CIFS/SMB很方便的扫描这些文件夹，同时将被扫描的数据定位与同Discover同一位置的数据仓库，来保证快速扫描和最小化对带宽的影响。已经准备好管理员权限的身份验证信息，并且能够具有充分的权限，来保证最大的数据发现能力。确认Discover的RA服务器将被安装在防火墙后面的企业网络中。确认端口445（CIFS）和2049（NFS）在防火墙上已经开放，确保Discovr可以通过这些端口访问目标服务器，因为他们会在Discover扫描过程中被使用。需要提供的NetworkMonitor信息问题目标1目标2目标3扫描的目标类型（文件服务器，数据库，等），包括操作系统，安装的应用。

文件路径和ip地址管理员权限的能够进行“读/写”的身份验证信息大约有多少GB的数据目标服务器是否和Discover服务器在同一个数据中心/网络？如果不是，该目标服务器在什么位置？可选：目标服务器上主要有哪些类型的文件，文件大小的范围大概是多少？

可选：在Discover服务器和目标服务器之间的带宽是多少？（扫描程序需要在带宽繁忙时间段停止运行吗？）

EndpointPrevent/Discover以下是EndpointPrevent/Discover的架构。EndpointPrevent/Discover由位于企业数据中心的，和DLP客户端进行通讯的终端服务器组成。这些DLP客户端程序能够监控/阻止离开终端电脑的企业数据，也可以发现存储在终端电脑的内置驱动器上的敏感信息。在你的RA过程中，EndpointPrevent/Discover可能和Enforce在同一台服务器上，并且使用同一个ip地址。注意：大部分的终端评估都限于在10个客户端程序以内的技术评估，来测试一些基本的客户端功能，而不是真正的风险评估。针对在RA过程的限制，Monitor和Discover更加容易快速的/全面的评估风险。在进行Endpoint评估前，客户需要准备的工作已经将以下调查问题的答案发送给Symantec工程师已经同意在评估过程中具体的数量和类型的终端电脑确认在RA中的EndpointServer将安装在防火墙后面的企业网络中将配置他们的桌面安全软件来使得我们的客户端程序没有影响的运行。或者干脆先删除这些可能具有影响的客户端安全软件。确认在客户端防火墙上的8000端口已经开放，该端口用来进行DLP客户端和服务器之间的通讯。需要提供的EndpointPrevent/Discover信息问题答复在评估过程中大约有多少终端电脑？这些终端是在实验环境中的，还是真正的员工使用的终端电脑？这些终端电脑是笔记本还是台式机？终端上的操作系统是什么？（必须是XPSP2，Vista，或者服务器2003）这些终端位于什么位置，并且如何与EndpointServer进行通讯？（在和EndpointServer同一个内部网络？或者是在其他区域的网络中？或者是通过VPN连接的家里的终端？等）请列出在你的终端系统上的所有的第三方安全客户端软件（防病毒，防间谍程序，防火墙，HIPS软件，NAC软件，等。注意：AV/AS必须被配置成允许我们的客户端程序运行或者被停止使用）你通过什么桌面管理工具来进行终端的发现和安装agent程序？（例如：SMS，Altiris，Tivoli，等）如果是Altiris，是哪一个版本？你计划通过系统管理工具来部署EndpointAgent还是进行手动安装？（建议进行特定的手动安装）你想要测试终端的哪些功能？（终端发现，硬盘扫描，USB，CD/DVD，email，web，FTP，IM，打印/传真，拷贝/粘贴，等）

如果有必要，列出需要测试的特定的CD刻录软件，邮件客户端程序，web浏览器，IM程序。

ExactDataMatching(EDM：完全数据匹配)和IndexDocumentMatching(IDM：索引文档匹配)

EDM和IDM被用来在策略中进行高精度的检测。EDM是敏感的结构化数据（主要是行和列的形式）的索引（或者指纹）。IDM是敏感的非结构化数据（例如：MSOffice的文档，源代码，CAD文件，等）的索引。在进行RA前，客户需要准备的工作已经将以下调查问题的答