对于要保证自己按照需要升级软件的公司来说，特别是升级重要的商业应用程序，测试真正的数据是必要的。据Applimation公司的Suzanne Swanson说，这些数据需要像应用到生产中的数据一样进行保护。

　　虽然技术行业处理大量的数据盗窃的事情，许多计算机系统仍在某种程度上容易受到攻击。目前新的数据安全程序没有触及和保护的计算机数据的一个重要层面是用于内部开发、测试和培训目的的非生产用计算机系统。这些系统一般是开放的，在各种规模企业规定的安全行为准则中都留下了巨大的漏洞。非生产环境利用“真实的数据”测试应用程序，存储一个机构中的某些保密信息，包括员工记录、客户记录和金融交易文件等。目前，非生产环境一般都没有记录或者监视，或者只有很少的记录和监视。这些系统通常可以远程接入。因此，这些系统很难保证安全。

　　为了防止安全突破导致媒体不必要的关注和承担昂贵的法律责任，你可以采取一些措施保护敏感的数据。首先，理解非生产环境的威胁。第二，与接入控制一起使用数据屏蔽工具或者“迷惑”工具。第三，采取与前端投入的适当的安全措施一样的措施。

　　理解威胁

　　内部威胁占全部数据突破事件的大约60%。出售敏感的个人信息的黑市向一些人提供了很大的诱惑力，因为偷窃的数据已经成为一项利润非常丰厚的生意。例如，信用卡号码信息每个记录可以买到1.5美元，医疗身份卡信息价格更高，每个记录5至50美元。

　　大多数机构喜欢使用“真正的数据”测试自己的开发环境和测试环境，因为这样的测试能够保证应用程序正常工作的真实环境。然而，在开发和测试环境中采用的典型的控制(人、流程和技术)做法和安全措施一般是生产数据库中采用的做法的一部分。因此，许多企业会意外地在应用开发层破坏敏感的数据。

　　在赛门铁克、Fidelity投资公司和Johnson & Johnson等机构拥有长期数据安全工作经验的独立高级安全官员Louis Carpenito称，在当前的软件开发领域，许多机构有多种开发资源。他们或者在海外有开发基地(自己拥有或者外包)、把编码外包给各自国家的企业、雇用承包商在自己的开发环境中工作，或者雇人开发自己的软件。

　　Carpenito指出，由于非生产环境一般都是开放的，没有或者很少有记录和监视措施并且通常能够远程访问，非生产环境的计算机系统很容易成为计算机窃贼的攻击目标，会有大量的内部或者外部威胁搜集敏感的个人信息。这些活动比较简单而且不容易发现。

　　保护非安全环境的保密数据

　　为了帮助保护在整个企业范围内的没有保护措施的机密数据，新一类加密数据的数据安全软件出现了。这种软件能够让机构在保持数据的完整性和测试的合法性的同时自动地对敏感的数据实施保护措施。数据加密软件的好处是即使一台笔记本电脑或者外部存储设备“消失了”，存储在这些设备中的数据仍是屏蔽的。这种数据对于数据窃贼是没有用的。最好的数据加密软件能够让你把安全规则应用到整个企业，并且把安全规则集成到你的数据安全基础设施中。

　　要在应用开发层解决数据安全的问题，应该考虑三个重要的问题。第一，机构应该寻求一个能够让他们使用的解决方案，为屏蔽或者加密敏感的信息进行客户化和创建高级的规则，把这些敏感的信息用于测试、培训和其它沙箱环境。第二，他们应该保证其解决方案能够提供某种程度的接入控制和监视。最后，一个有效的解决方案将能够自动识别和改变SAP复杂数据结构中的敏感数据要素的每一个实例，最大限度地减少在所有的测试和开发过程中以及在系统中保证信息安全的人工操作过程。

　　向安全领域投资

　　据市场研究公司Gartner称，企业每年由于安全漏洞造成的损失高达600亿美元。事实上，在使用过程中消除软件瑕疵的成本要比在开发过程中和质量保证过程中纠正软件错误的成本高二倍至五倍。

　　除了满足HIPAA(健康保险流通与责任法案)和萨班斯-奥克斯利法案等数据隐私法规规定的法律要求，在开发、测试和培训系统中保持数据安全能够避免由于敏感数据丢失、被窃或者不适当的访问和用于非法用途而遭到法律诉讼而产生的法律辩护成本。

　　通过遵守三项基本原则：第一，理解费生产环境的威胁;第二，使用数据加密工具和访问控制;第三，在前端投资适当的安全措施，你能够保证你采用必要的步骤防止敏感的个人信息遭到安全突破。