如果說測試測量界每年有什么特別期待，那必須是業(yè)界“紅寶書”——《NI智能測試趨勢指南》！最新《自動化測試趨勢展望2018》強(qiáng)勢來襲，不看？如何身經(jīng)百戰(zhàn)穿金甲？



Eric Starkloff NI全球銷售、市場營銷和支持執(zhí)行副總裁

為什么要閱讀這一趨勢展望？
NI知道您的時間非常寶貴，因此我們編寫的《NI自動化測試趨勢展望2018》非常簡潔易懂。除了技術(shù)趨勢，我們還簡要地概括了您需要了解的信息。您還可查看業(yè)界同行的評論以及參考更多資源。最后，我們增加了一個緊急性衡量表（如下圖所示），可幫助您根據(jù)公司的情況對這些趨勢進(jìn)行優(yōu)先級排序。



給智能測試領(lǐng)導(dǎo)者的話

從5G技術(shù)的首次推出到自動駕駛汽車的加速發(fā)展，企業(yè)需要更智能的測試策略來保持競爭優(yōu)勢 。10多年來，NI收集了來自眾多領(lǐng)先的測試公司的看法，并將其整合到每年一次的《自動化測試趨勢展望》中。文檔中的趨勢、技術(shù)和信息將幫助您更好地滿足當(dāng)前和未來的質(zhì)量、上市時間和成本需求。感謝您的閱讀，如需更多信息，請隨時聯(lián)系我們。
——Eric Starkloff  NI全球銷售、市場營銷和支持執(zhí)行副總裁

Chapter 1. 確保測試系統(tǒng)的安全

Why？

• 測試系統(tǒng)與其他工業(yè)設(shè)備一樣，非常容易受到網(wǎng)絡(luò)攻擊
• 應(yīng)用分階段的網(wǎng)絡(luò)安全方法，消除最有可能的威脅
• 與供應(yīng)商交流，理解供應(yīng)鏈中的上游威脅

在如今的數(shù)字時代，存在安全隱患的測試系統(tǒng)可能會對組織的聲譽(yù)和銷售額造成嚴(yán)重影響，但是確保測試系統(tǒng)的安全并不容易。如果想保護(hù)測試系統(tǒng)的安全，又不確定如何開始，那么請參考下面的方法，該方法包含三個階段。

階段1. 謹(jǐn)慎將IT的做法應(yīng)用于測試系統(tǒng)
首先，使用泄露數(shù)據(jù)可幫助您確定測試系統(tǒng)應(yīng)借鑒哪些IT安全措施。此數(shù)據(jù)可讓您與IT安全人員一起探討測試系統(tǒng)存在的風(fēng)險。2016年Verizon數(shù)據(jù)泄露調(diào)查報告（DBIR）顯示，黑客一般會利用供應(yīng)商發(fā)布補(bǔ)丁程序的時間和計算機(jī)安裝補(bǔ)丁的時間之間的時間差侵入到系統(tǒng)中。系統(tǒng)漏洞通常發(fā)生在廣泛使用的軟件發(fā)布補(bǔ)丁后兩到七天內(nèi)，而大多數(shù)測試系統(tǒng)無法在該時間段內(nèi)重新認(rèn)證。為了盡可能降低風(fēng)險，請刪除不必要的軟件，啟用盡可能多的實(shí)用操作系統(tǒng)安全功能，并將測試系統(tǒng)與IT網(wǎng)絡(luò)隔離開來。

第二，大多數(shù)測試系統(tǒng)并非為處理動態(tài)隔離文件或高吞吐量網(wǎng)絡(luò)數(shù)據(jù)而設(shè)計。在將它們應(yīng)用于測試系統(tǒng)之前，請仔細(xì)評估IT安全技術(shù)行為。

第三，利用測試系統(tǒng)特定的安全功能來補(bǔ)充傳統(tǒng)的IT安全措施以解決測試系統(tǒng)獨(dú)有的風(fēng)險。例如，考慮到數(shù)據(jù)校準(zhǔn)、參數(shù)測試和測試序列對于保證測試質(zhì)量的重要性，您可以使用專為您的測試系統(tǒng)配置的文件完整性監(jiān)控和校準(zhǔn)完整性監(jiān)控等技術(shù)。

階段2. 評估供應(yīng)鏈
測試系統(tǒng)的完整性依賴于在其整個生命周期中所有組件的完整性。多個供應(yīng)商的合作，降低了僅依賴單一供應(yīng)商來設(shè)計的系統(tǒng)所帶來的安全風(fēng)險。但是這樣并不能夠彌補(bǔ)由員工學(xué)習(xí)成本和管理供應(yīng)商關(guān)系帶來的長期成本問題。

規(guī)范供應(yīng)鏈之后，確保系統(tǒng)安全的最重要步驟就是與供應(yīng)商交流。詢問其供應(yīng)鏈信息，以及他們?nèi)绾卧陂_發(fā)、制造和執(zhí)行訂單的過程中保護(hù)產(chǎn)品的完整性。了解以上流程中的缺漏之處可以幫助您降低供應(yīng)鏈?zhǔn)艿桨踩{的風(fēng)險，并有助于您的供應(yīng)商加強(qiáng)安全措施。如果發(fā)現(xiàn)漏洞，請確保您的供應(yīng)商會對其進(jìn)行檢測，并明確回復(fù)應(yīng)對措施。如果缺少此類對話，則雙方可能會因溝通不暢而做出沒有依據(jù)的決定。

階段3. 防范內(nèi)部威脅
眾多的相關(guān)報道使得內(nèi)部威脅聽起來風(fēng)險十足，但2016年Verizon DBIR表示內(nèi)部威脅發(fā)生的概率并不高。在2015年超過64,000起網(wǎng)絡(luò)安全事件報告中，只有172起涉及內(nèi)部人士濫用特權(quán)。75％以上的內(nèi)幕事件都是由內(nèi)部原因造成不存在任何外部協(xié)助或內(nèi)部勾結(jié)。



首先消除可能性最高的威脅，然后再采取措施防止公司遭受影響較廣的內(nèi)部威脅。

克服內(nèi)部威脅是一個多方面的挑戰(zhàn)，仍然需要重點(diǎn)研究。無論是員工還是開發(fā)人員，任何可以訪問關(guān)鍵測試系統(tǒng)的人員都需多加防范。另外，還需明確業(yè)務(wù)的最關(guān)鍵部分、參與人員以及權(quán)限分配。最重要的步驟是將關(guān)鍵功能的權(quán)限授予至少兩個人員，這樣任何個人都無法危及整個測試系統(tǒng)。

案例學(xué)習(xí)

IT做法
2016年，一個資產(chǎn)達(dá)數(shù)十億美元的某家公司的制造系統(tǒng)在三個月內(nèi)多次癱瘓。PLC一直因不明原因而無法運(yùn)行，直到調(diào)查發(fā)現(xiàn)了根本原因：IT最近將安全掃描范圍擴(kuò)展到測試系統(tǒng)設(shè)備，并且數(shù)據(jù)包速率超出了PLC的承受范圍。不了解測試系統(tǒng)的獨(dú)特需求將會帶來數(shù)百萬美元的經(jīng)濟(jì)損失。

供應(yīng)鏈
2014年，Energetic Bear黑客攻擊了三家不同的軟件供應(yīng)商，這些供應(yīng)商在網(wǎng)站上提供了其行業(yè)控制系統(tǒng)軟件的下載。黑客獲取網(wǎng)站上的文件之后，通過插入惡意軟件來更改合法的供應(yīng)商軟件安裝程序，然后將文件保存在網(wǎng)站上的原始位置。之后客戶下載了木馬軟件并進(jìn)行安裝。這給軟件供應(yīng)商和客戶帶來的經(jīng)濟(jì)影響是無法估量的。

內(nèi)部威脅
Omega Engineering公司的Timothy Lloyd由于在1996年進(jìn)行一些威脅公司內(nèi)部安全的行為變得臭名昭著。當(dāng)他在車間現(xiàn)場被罷免了系統(tǒng)管理人員的職務(wù)時，他安裝了一個軟件定時炸彈，在他的控制下將系統(tǒng)內(nèi)所有的制造軟件全部刪除。這件事給Omega Engineering公司造成了數(shù)百萬美元的經(jīng)濟(jì)損失，導(dǎo)致80人失業(yè)，使公司陷入瀕臨破產(chǎn)的境地。