‍目录：

篇一：浅谈root账号安全管理

篇二：供应商及人员安全管理

篇三：金融实践群精华回顾之三 - 职业欠钱理解的安全运营

篇四：测试环境安全管理漫谈

篇五：流量层检测的未来何去何从？

篇六：安全资产管理

篇七：操作系统补丁管理与代码扫描工具探讨

篇八：矛与盾，攻与防杂谈集锦

篇九：如何进行有效的安全规划与汇报？

篇十：小议数据安全场景应对之道

篇十一：众说纷纭聊安全弹性与韧性

测试环境追求研发效率，频繁变更，而变更不会走变更流程，还经常把整个站点都换了新的，各种默认页面、管理页面都不删除，测试环境的安全性很难保证，尤其是那些需要联网的测试环境，安全风险非常高。

1 测试环境如何快速提高安全性？

生产环境配套全，风险可控，而测试环境如果什么都看不到，风险非常高。这种情况下要么规范管理，要么加强安全监测。

安全监测可以先用厂商设备的试试看，说不定能看到意想不到的问题，如果要配套生产环境类似的防护与检测产品，流量监控比WAF好上一些，WAF的测试环境对每个应用太难维护管理，流量监控的工作量就少多。

规范管理上，一方面测试环境和开发环境统一通过代理收口，并做做网络隔离，隔离网的访问控制需严格，另一方面，测试环境出入互联网就要过DMZ，需要联网的根据IP和时间来限定访问，严格白名单访问。如果可以就从物理层面隔离网络，然后限制访问控制，可以的话在前面加一层http basic authorization。如果必须与第三方联调的，可以考虑特定的网络环境；如果只是外部的测试人员，走 VPN 也是不错的方法。

总体上，测试环境划分DMZ缩小威胁面与影响面、严控互联网访问IP白名单，收紧可攻击源，这两个是企业实践比较多又见效快的措施。

2 测试环境联网如何管理？与不能联网的测试环境如何区分呢？

外联测试区建议要单独设计，可以按照生产网来管理，包括区域划分、安全设备监控、访问控制等。对于测试网互联网应用测试管理，可以采取的一些措施：

1、不涉及第三方等外部交互测试的测试应用原则上需通过 VPN 进行测试，不能直接发布在公网上进行测试。

2、涉及第三方合作方联调等外部交互需求的测试应用，按照如下原则处理：：

a) 如可以通过给第三方开通 VPN 进行测试，则原则上通过开通 VPN 进行测试。 

b) 如不能通过给第三方开通 VPN 进行测试，但可以限定访问源 IP 的，应设置白名单访问控制。 

c) 如不能限定访问源 IP 的，原则上应只在有测试需求时间段才放开公网访问，其他时间应关闭公网访问。 

d) 尽量把电商测试应用资源池独立。因为电商测试应用比较特殊也比较常见，一般要求互联网权限，比如手机证券，独立出来更便于统一管理。

e) 对发布在公网的测试应用流量进行安全监测。

基于上述原则，我们可对这类情况当做是一项正式工作开展，测试系统对公网发布之前要求递交申请，安全审核卡点，主要包括应用基线核查、沟通将对公网开放时间最小化、渗透测试加安全防护配置、到期审计、提醒运维关闭等，但比较耗费人力。需要注意的是，测试环境对公网发布之后不能保证不变，还需要控制变更流程。这里建议当做生产环境管理，原则上无论生产、测试环境，应用只要在公网可访问，都必须满足安全基线要求。总之，测试系统对公网发布，最有效的卡点是安全审核，只要渗透发现漏洞，立马驳回，要求修复漏洞后再提交。

一些企业因为测试网、生产网物理隔离，对测试环境不够重视，有的测试环境没有区分 DMZ 和非 DMZ ，防火墙也没有及时回收权限，存在问题很多，比如开防火墙权限的时候会限制不开放敏感端口，但是有些员工用端口转发的方式进行规避，这种问题通报了几次，大家也不够重视。针对这类配置不规范的，没有罚则，不能引起重视。如果组织一次内部演练，然后把他们拿下，后面推制度和技术整改建设一切都顺理成章了，也是一种有效的方式。而且真正攻防演习的时候扣分都是一样的，不管什么环境。

3 如何避免存在未经脱敏的生产数据？

原则上测试人员不能拥有生产环境的访问权限，生产环境的数据库统一由DBA管理，这个问题就很好解决了。当需要从生产环境获取测试数据时，一般是通过生产环境弄过来的，由数据库管理员配合提供，这样数据出来比较严格。同时安全团队做好测试网和生产网的网络权限安全审批，并重点加强数据库管理员的安全意识，可以多通报几次违规情况，让数据库管理员绷紧神经。只要通报的效果还是不错的，基本数据库管理员不敢不经安全团队确认私自就把数据弄出来了。如果资金较多，可以在生产环境和测试环境间再加一道 DLP。

那么，违规问题是通过什么技术手段发现呢？ 一般有两种情况，一种是要求测试团队维护一份测试环境数据库清单，不定期上去检查；二是通过一些安全事件倒查发现违规。

最后，欢迎各位读者畅所欲言，您可以在留言区写下您的想法和建议，我们一起讨论。同时，小编也会在后续的群精彩话题中，尽可能结合您的建议来组织编辑，并会将您的问题向强大的群组织请教解题之法，期望能为您带来最大的帮助。

来源:企业安全建设实践群 | 作者：群友 

本期编辑:进击的兔子

往期精彩群话题

办公安全实践讨论：沙盒的用户体验、终端DLP+虚拟化浏览器+上网行为管理+网络DLP的互联网方案以及数据网关作用

因勒索软件攻击，数据被加密：IT主管和工程师被开除，并要求索赔 21.5 万元

SOC技术架构及运营讨论

更多精彩内容，点击阅读原文！

如何进群？

请见下图：