数据安全之重:保护不设防的非生产环境

核心提示： 绝大多数的企业都喜欢在开发环境和测试环境中使用“真实数据”，以便对其应用程序进行测试，数据安全之重:保护不设防的非生产环境(2)，因为这可以提供一个最佳环境确保应用程序正常工作，然而，有太多的敏感个人资料以电子形式存在，并在企业系统内导出流窜，开发和测试环境中的人员

绝大多数的企业都喜欢在开发环境和测试环境中使用“真实数据”，以便对其应用程序进行测试，因为这可以提供一个最佳环境确保应用程序正常工作。然而，开发和测试环境中的人员、过程和技术控制实务以及所采取的安全措施都远比不上实际的产品生产环境。因此，许多企业都于不经意间在应用程序软件开发水平上，就使高度敏感的资料陷于泄漏的危险当中。

某位曾在赛门铁克、富达投资和强生等大企业呆过的资深安全主管称，在今天的软件开发世界离，很多企业使开发资源多元化，他们不仅立足于本国，也开发了海外市场，不仅聘用承包商在其开发设备上工作，也会聘用外包人员开发软件。而非生产环境通常是开放式的，不需要登录，不进行监测，而且往往可以进行远程访问，这无疑为数据窃贼大开了方便之门，兼职就像是在给内部和外部的窃贼发布邀请函，让他们来轻轻松松收获敏感的个人信息，而且不会被什么安全卫士监测到。

保护非安全环境下的机密数据

要保护机密数据以防各种潜在数据违规行为的破坏，企业必须确保非生产环境下的机密数据也得到了严密的保护。Gartner 的一份研究报告表明，安全漏洞造成的企业损失每年高达六百亿美元。事实上，在软件投入运行后，消除某项缺陷的费用是在开发和质量保证(QA)过程中纠正该错误花销的两到五倍。

很多企业的机密数据可能存在很多未受保护的拷贝，为了保证这些拷贝数据的安全，新一类的数据安全软件正在开发当中，这些软件使企业能够自动为敏感数据进行保护设置，而不会破坏数据的完整性和测试的有效性。这项技术应当涵盖在应用程序软件开发水平上解决数据安全问题的三个关键要素。

首先，企业应当寻求一种解决方案，使他们能够利用、自定义和创建复杂的规则，或者使已经移植到测试、培训及其他环境的敏感信息模糊化。其次，企业应当保证其解决方案在系统内部提供了对敏感信息的访问控制。最后，一个有效的解决方案应当自动识别和改变系统中复杂数据结构敏感数据元素的每一个实例，以便最大限度减少在所有测试和开发过程及系统中涉及信息安全的手动操作过程。

尽量降低数据泄漏的风险

维护开发、测试和培训环境中的数据安全不仅能满足数据隐私法规的相关要求，而且能够通过避免敏感数据丢失、被盗或受到不正当访问及被非法使用所招惹的维护诉讼，减少法律风险成本。适当的数据安全软件提供了在测试环境中保证数据安全的方法，同时满足严格的法律规定。

敏感数据和机密数据所受到的威胁确实存在，而且越演越烈。世界隐私论坛主管Pam Dixon在关于医疗身份被窃的一份报告中指出，医疗身份被窃在医疗系统中已经根深蒂固，除了给身份被盗的受害者带来财产损失之外，还会由于冒名顶替者在受害者的健康档案中添加的错误信息造成严重的危害，医疗机构也会由于没能防范这些窃取行为而承受法律风险。

现在企业应当比以往任何时候都深刻地认识到保护敏感个人信息的重要性，不管这些信息存储在企业的什么系统中。有太多的敏感个人资料以电子形式存在，并在企业系统内导出流窜。数据的模糊化处理以及访问控制能够用来而且应当被用来保护信息技术基础架构的安全。