近年来我们注意到部分安全攻击、事件发生在企业的IT非生产环境，并引发了一系列不利后果。如LastPass在2023年揭露了一起重大安全事件，攻击者利用供应链攻击，侵入了公司的非生产环境，并窃取了部分源代码、客户数据。微软在2024年披露黑客组织Midnight Blizzard利用密码喷洒攻击，成功侵入了一个非生产的账号，进而获取了公司员工的电子邮件账户，窃取了Windows操作系统、Office套件等关键软件的部分源代码。 此外，监管检查案例中也发现了企业非生产环境中存在高危漏洞，企业存在疏于管理的情况。许多企业非生产环境缺少必要的安全管控措施且直接暴露在互联网上，如应用系统管理后台的非生产环境存在弱口令、远程访问网关的非生产环境存在命令执行漏洞。这些事件和案例不仅给企业带来了经济损失，也降低了企业的声誉和客户信任度。因此，对于企业而言，如何有效管理非生产环境中的安全风险，已经成为安全团队关注的焦点之一。 IT非生产环境安全管控现状和主要风险企业的非生产环境主要用于开发、测试等目的，不直接涉及业务运营和客户服务，在传统的安全管理理念下，其风险级别通常低于生产环境。然而，随着企业逐步深化对互联网技术、云技术等的应用，非生产环境所面临的安全威胁和风险情况也随之发生改变。此外，非生产环境的复杂性往往不亚于生产环境，企业如果需要实现非生产环境的纵深安全管控能力，需要投入大量的资源（人力、物力、财力）。在整体资源有限的情况下，从较为片面和传统的安全管理理念出发，企业往往将更多的资源投入到生产环境的安全管控中，而忽视了对非生产环境的有效覆盖和管理，由此引发的一系列的安全风险不容忽视： 首先，日益复杂化的网络环境，使得企业难以避免将非生产环境暴露于互联网之下，从而显著增加了其面临的网络安全风险。随着技术的持续革新和市场需求的日新月异，企业对云计算的使用与依赖正日益深化。在云计算的初期阶段，企业主要聚焦于将基础设施迁移至云端，如服务器、存储及网络设备等，以享受云端带来的弹性与便利。然而，随着云计算技术的日臻完善，企业开始逐步将更多服务整合至云端，涵盖软件开发、数据分析、人工智能等多个领域。与此同时，多云和混合云策略也渐成主流，为企业提供了更为灵活和高效的IT架构。然而，攻击者已经敏锐地洞察到这一趋势并将非生产环境作为切入点，利用非生产环境的安全漏洞，发起一系列网络攻击，包括但不限于恶意软件攻击、注入攻击、网络钓鱼和中间人攻击等，从而绕过生产环境中的严格安全管控措施，实现其恶意目的。 其次，数据安全风险是非生产环境中的另一个关注点，未脱敏数据的不当使用、访问控制机制不完善等问题导致企业数据面临着泄露、篡改或丢失的巨大风险。近年来国内发生了多起因系统源码泄露而导致的敏感信息泄露事件就属于常见的开发测试环境数据安全挑战，开发测试环境中引入未完全脱敏的数据或未及时升级管控和清理，也带来了实际的数据安全风险和隐患。 再次，开发测试过程中引入大量的第三方组件、库和开发与测试工具等，降本增效的同时，也不可避免地带来一系列的安全风险。第三方组件或库可能成为供应链攻击的载体，如果这些组件或库被植入恶意代码，可能会对整个非生产环境造成威胁。第三方软件或工具可能包含已知的安全漏洞，如果这些漏洞不被及时识别，同样可能会被攻击者利用。 此外，身份和访问管理风险、合规风险以及配置和更新风险也是非生产环境中需要重视的安全问题。这些风险如果不加以妥善管理，可能对企业的信息安全和业务运营造成不利影响。 IT非生产环境安全管理要点非生产环境管理薄弱是一个复杂的问题，需要企业从多个方面入手进行解决。基于毕马威团队多个项目实践，建议可从以下九个关键管控领域入手，结合企业自身情况，逐步提升非生产环境的安全管理和防护水平： 安全意识 建立并加强企业对非生产环境的安全管控意识。资产的粗颗粒度管理 识别和梳理非生产环境中的应用程序和服务，包括Web应用、数据库服务、API等。定期更新非生产环境的资产清单，确保信息的准确性和完整性。定期审查和优化非生产环境的资产管理流程，以适应业务和技术的发展变化。网络侧的切割 尽量避免非生产环境与互联网网络互通，减少安全风险。根据业务实际情况，建立有效的非生产环境、生产环境、办公环境隔离机制。面向互联网的资产应遵循最小化原则配备网络访问策略。身份鉴别机制的完善 建立身份认证机制。禁止使用特权账号、默认账号、弱口令账号进行日常工作，避免多人共用账号的现象。数据使用与存储安全 禁止使用未经脱敏的真实业务数据，确保敏感信息的安全。禁止存储生产环境相关的鉴别或配置信息。数据使用期限到期后应及时清除，避免数据泄露和滥用。补丁更新及漏洞管理 及时更新补丁，修复已知的安全漏洞。定期执行漏洞扫描或渗透测试，发现并修复潜在的安全隐患。建立漏洞修复跟踪机制，确保漏洞得到及时处理。产品引入时的安全评估 引入第三方产品或组件时进行安全评估，确保软件的稳定性和安全性。配置管理 尽量避免多个应用系统共用同一套基础设施，减少安全风险。定期执行配置核查，确保系统和设备的配置符合安全要求。入侵检测与防范 部署适当的安全监控产品，如入侵检测系统（IDS）和入侵防御系统（IPS），及时发现并响应安全事件。毕马威安全服务毕马威中国网络安全专业服务团队深耕市场多年，在网络安全战略与治理、网络安全转型、网络防御、体系评估与保障等多个服务领域，协助企业发现安全隐患，建立与完善更为高效、更加经济的安全防护体系，提高网络安全管理水平。 针对非生产环境安全风险管理，毕马威可提供如下安全服务： 互联网资产渗透测试 对非生产环境中面向互联网的信息资产进行渗透测试，识别潜在的安全漏洞。 非生产环境资产梳理 综合运用外部信息收集和内部网络嗅探等多种专业手段，帮助企业全面、精准地识别和梳理非生产环境中的信息资产。 非生产环境安全评估 对非生产环境（数据中心、网络、主机、应用、数据等）进行全面的风险评估，识别出关键风险点和高风险领域。 供应链安全评估 识别和清点所有软件组件，包括开源和商业软件库、框架、依赖关系和服务，并对组件进行安全评估，包括检查已知的漏洞、许可证合规性、代码质量和安全实践。对非生产环境中引入的软件进行安全测试，包括静态代码分析、动态分析、渗透测试等，以验证软件的安全性。 意识宣贯 基于企业需求和行业发展趋势，为企业提供安全培训，帮助企业不断提升非生产环境安全管控意识和应对安全挑战的能力。 本文内容仅供一般参考用，并非针对任何个人或团体的个别或特定情况而提供。虽然我们已致力提供准确和及时的资料，但我们不能保证这些资料在阁下收取时或日后仍然准确。任何人士不应在没有详细考虑相关的情况及获取适当的专业意见下依据所载内容行事。本文所有提供的内容均不应被视为正式的审计、会计或法律建议。 ©2024毕马威华振会计师事务所（特殊普通合伙）、毕马威企业咨询（中国）有限公司及毕马威会计师事务所，均是与毕马威国际有限公司（英国私营担保有限公司）相关联的独立成员所全球组织中的成员。毕马威国际及其关联实体不提供任何客户服务。各成员所均为各自独立的法律主体，其对自身描述亦是如此。毕马威华振会计师事务所（特殊普通合伙）——中国合伙制会计师事务所：毕马威企业咨询（中国）有限公司——中国有限责任公司；毕马威会计师事务所——香港合伙制事务所。版权所有，不得转载。毕马威的名称和标识均属于毕马威国际的商标或注册商标。