安全性对自动化测试系统的影响

设想您自己就是下列场景的当事人。这个场景在制造业尤其常见。凌晨2点15分，手机响了，把你从睡梦中惊醒。电话急切要求你关注刚才发生的生产线故障。

生产线终点有两个用于质量控制的PLC（可编程逻辑控制器）。这两个控制器发生了故障，导致生产线C中途停止。生产控制中心在30分钟前失去了与PLC的通信，无法确定控制器现在是否处于可靠的状态，是否可以将控制器恢复为在线状态。本月已经发生了三次类似故障，这将是第四次？您的制造团队准备将生产转移到附近有闲置产能的工厂。希望这将有助于减少净生产损失。

几天后发现，这些故障是由网络安全事件引起的。事出有因，不是外因而是内因。IT部门最近对所有联网设备实施了夜间扫描，以评估其安全性。测试设备曾经不属于IT部门设备监控的范围。最近不受监控的网络设备带来了诸多网络安全风险，领导层决定改变之前的策略。PLC上的基本软件算法可能在安全软件出现的几十年前就开发完成了。夜间安全扫描向PLC发送了大量网络数据包，PLC不堪重负触发了故障响应：关机。

关键问题

利用未受监控的网络设备的网络安全事件日渐增多，将IT安全实践应用于测试系统势在必行。Target销售点系统遭到了来自供暖和通风系统控制器的攻击，CEO如坐针毡。同样，如果测试设备受到企业IT系统的攻击，任何管理者都无法承受巨大的经济损失。

这一趋势的另一个原因是通用IT系统的安全实践和技术更加成熟。为了保护系统和检测入侵，IT安全人员可以使用多种选择：联网扫描、入侵检测技术、桌面防病毒和监控代理，等等。IT团队可将安全策略的覆盖范围扩展到测试系统和设备。这种做法也满足NIST SP 800-171监管标准的要求。

但是，这种趋势也存在两个弊端。首先，测试系统受IT安全策略监管之后，对系统配置的任何改动都变得更为繁琐。IT系统的大多数用户可以容忍一些设备和程序的停机时间，甚至可能无法察觉到性能差异，但测试系统（尤其是生产中使用的测试系统）通常无法容忍停机时间。即使是由于安全补丁或新的安全功能而导致的性能特征发生微小变化，也会对测试结果甚至所收集测试数据的质量产生负面影响。同样，即使生产测试系统出现少数几次停机，也会为公司带来较大的经济损失。

其次，测试系统通常具有独特的安全需求。测试系统上的测试软件一般不用于公司的其他计算机，而且测试系统会包含专门用途的外围设备，IT安全技术无法处理这些设备。例如，如果测试外设的校准数据被恶意或无意更改，会降低甚至破坏测试质量。设备需要校准才能提供准确的测量数据。盲目地将IT安全策略应用于测试系统可能会事与愿违，因为IT安全策略无法解决测试系统特有的网络安全风险。

您可以做什么 

安全测试设备涉及两个关键组件。首先，用数字化的方式告知测试系统采用的安全措施，以及措施应用的广度。这提供了IT安全人员参与评估和管理风险所需的信息。其次，将测试系统特定的安全功能作为IT总体安全策略的补充，以应对测试系统特有的风险。这样可消除IT安全策略无法到达的盲区。

请参考Verizon数据泄露调查报告(DBIR)，作为数据源。Verizon在报告中分析了上一个日历年披露的网络安全漏洞数据。Verizon 2016年发布的DBIR报告分析了主要软件供应商修补漏洞活动的网络攻击。黑客使用的一种技术是利用供应商发布补丁和在用户计算机上安装补丁之间时间差。通过反向编译软件补丁，确认补丁要修复的程序漏洞。然后专门针对程序漏洞发起攻击。黑客会在软件补丁发布后的2-7天主动针对程序漏洞发起攻击，主要针对大的软件厂商。

可使用该数据做出为测试系统升级软件补丁的决策。为降低风险，请先在安全补丁发布后的7天内安装补丁。这意味着要监控软件供应商的通知、评估补丁的适用性，并快速认证受影响的系统。其次，减少测试系统上安装的软件。花掉的时间很快就会立竿见影，越少的软件就意味着越少的补丁和认证所需的人力和财力。这些措施对于制造或生产中使用的高风险测试系统尤其重要。

第二个关键点是使用供应商特定的安全功能。例如，考虑到数据校准、参数测试和测试序列对于保证测试质量的重要性，可以使用专为测试系统设计的文件完整性监控、校准完整性监控等功能。同样，您可以参考测试系统供应商提供的安全文档，做出测试系统的购买、设计和部署决策，以实现更好的安全性。

向测试系统供应商咨询的问题

软件与Windows操作系统安全功能的兼容性如何？

NI测试其软件与Windows安全功能的兼容性，可根据需要在环境中启用这些功能。您可以使用标准用户权限运行所有NI应用程序。

我是否能够安全地移除某个软件模块来降低安全风险？

使用NI软件安装程序，您可以自定义安装，以便仅安装所需的产品和产品的依赖项。此外，NI应用程序使您能够构建自己的自定义安装程序，从而以最少的运行时环境和依赖关系部署应用程序。

哪些额外安全防护措施可以用来保护测试软件和测试应用程序？

许多软件供应商都提供文件完整性监控工具。NI目前正在评估这些类型的工具，以确定如何配置工具以与NI软件配合使用。联系NI了解详情。

在哪里可以找到软硬件的安全信息？

NI提供有关网络端口和协议、Windows服务、内存净化和关键安全更新的文档。

2014年，针对工业控制系统的恶意软件(malware)的消息出人意料。这不是黑客远程侵入特定工厂防御系统，也不是秘密操作人员在炼油厂安装恶意软件。恶意软件是通过包含木马的供应商软件安装的。

该事件最初被称为“能量熊”，因为它针对的是发电厂，并被认为起源于俄罗斯。该活动的一个方面涉及供应链。他们攻击了三个不同的软件供应商，这些供应商的网站上有可供客户下载的工业控制系统软件。当黑客有权限访问网站上的文件，插入恶意软件代码，修改原有软件安装的完整性。客户下载并误装木马软件只是时间问题。这会给供应商和客户带来不可估量的经济损失。

在一个更复杂的案例中，卡巴斯基实验室在2010年发现了多家供应商的商用硬盘驱动器的供应链漏洞，问题可追溯到2005年。硬盘控制器中嵌入的固件似乎可以正常运行硬盘。硬盘存储了一份敏感信息至非易失性存储的未使用空间，这个空间同时也存有硬盘的固件。由于更改后的固件没有外部通信能力，因此可以推断，硬盘驱动器退出使用后，有人可能会收集硬盘驱动器以恢复敏感信息。即使硬盘驱动器的内容在处理前已被清理干净，敏感信息仍可恢复。

关键问题

能量熊入侵事件表明，测试系统（或任何系统）的完整性取决于其组件在其整个生命周期中的完整性。系统组件发生变化或长时间不变的时间内，都有可能成为网络攻击的薄弱之处。在每个阶段保护和检测受损组件的安全措施非常重要，建立清晰的监管链也同等重要。

卡巴斯基硬盘泄露事件表明资深的黑客更倾向于入侵供应商的开发过程，以访问未发布的供应商源代码。在这种情况下，厂商的源代码会被盗用从而创建可安装的病毒程序，这种病毒程序会被植入硬盘，然后卖给用户使用。

产品的任何方面都有可能遭受供应链带来的风险。任何安装程序，即使是看似无关紧要的插件或附加组件，都可能受到“能量熊”活动的影响。硬盘中看似微不足道的固件也是如此，无需严格的安全检查即可更新。

在应对网络安全风险时，您必须平衡供应商多样性和标准化之间的关系。多样性可以降低系统性风险，但是维持多个供应商也会增加系统维护、培训和供应商维护的成本，这些额外支出会抵消多样性带来的优势。标准化可降低这些额外支出，但同时会增加系统性风险。

您可以做什么 

标准化有诸多成本优势。除非是高风险场景，客户没有理由舍弃标准化而追求多样化。最好的办法是实施供应商标准化，同时认真评估供应商的供应链安全，然后再做出决策。

很多情况下，您已经有了标准的供应商。在这种情况下，您和供应商都需要维护合作关系。解决供应链安全问题，最重要的是与供应商保持沟通。向供应商询问其供应链的详细信息，以及为了保护产品在开发、生产和订购流程中的完整性，他们采取了哪些措施。了解以上流程中的缺漏之处可以帮助您降低供应链受到安全威胁的风险，并有助于您的供应商加强安全措施。如果没有良好的沟通，双方都可能做出不明智的决定。

除了预防之外，还要与供应商讨论发生风险时如何检测和处置。只要有合适的动机和资源，任何安全系统都可能受到威胁。确保系统中有足够的入侵检测机制，以及如何响应入侵风险的预案。在能量熊入侵案例中，最后一步检测机制是安装程序的数字签名。实现这一步检测需要设计合理的流程和培训制度。如果发生类似风险，请中止安装，发送IT帮助请求。如果发生类似硬盘固件的风险问题，问询供应商固件更新机制可能会发现如果不验证要安装的固件盲目升级可能会带来的风险。

向测试系统供应商咨询的问题

如何确认所收到的软件是合法的？

NI对所有Windows软件安装程序进行数字签名，以便您（和Windows）验证该安装程序是否来自NI且未经篡改。此外，NI还提供安全的软件交付解决方案，为软件交付提供物理保障。软件安全交付提供防篡改包装和可追溯的NI软件光盘，以及独立发货的验证光盘，用于验证其他软件包中软件的文件完整性。

如何保护供应链不会存在伪冒产品或者组件被替换？

NI严格遵循质量规范，严格控制零部件的采购地点和最终产品的组装方式。NI对参与制造和测试的人员进行背景调查，以确保您获得高质量的产品。联系NI了解详情。

如何确认硬件校准数据没有被篡改？

NI硬件模块需要密码才能更改长期校准数据。管理该密码的方式与管理Windows密码的方式相同。NI目前正在为部分硬件模块开发校准完整性功能。该功能使您能够验证长期校准数据自认证校准后是否发生变化。

产品如何支持供应商的多样性？

NI尽可能遵循行业标准，提供与其他供应商产品最广泛的互操作性。例如，NI产品符合PCI、PXI、IEEE、IETF和ISO/IEC通信标准，并使用IVI和OPC-UA等行业标准技术。NI积极参与各种标准协会。

斯诺登(Edward Snowden)泄露了美国国家安全局(National Security Agency)的大量机密监视数据，这很可能是引起人们对内部威胁日益关注的原因。斯诺登的行为导致世界对美国科技失去信心，已给美国科技行业造成约220至350亿美元的经济损失。但这并不是内部威胁的第一例。

Omega Engineering公司的Timothy Lloyd由于在1996年进行了一些威胁公司内部安全的行为变得臭名昭著。当时用的微软Windows 95操作系统，主流媒体很少（如果有的话）讨论网络安全。蒂莫西·劳埃德(Timothy Lloyd)是公司内部员工，利用特定的访问权限给公司带来了巨大的破坏。他曾在制造工厂担任系统管理员。当劳埃德得知自己将被解雇时，安装了一个软件定时炸弹，系统性地删除了他控制的系统中的所有制造软件。定时炸弹是在劳埃德被解雇后的第二天第一位管理员登录网络时触发的。该事件对Omega Engineering造成了数百万美元的经济损失，并使公司失去了大约80个工作岗位。公司濒临破产。

关键问题

该领域的关键问题是多方面的，值得深入研究。这些问题包括谁有权访问关键测试系统，他们可能是正式员工也可能是合同工。还需要厘清业务的最关键的部分，参与这些业务的人，以及权限如何在这些参与人之间分配。解决风险的办法是进行大量和高强度的监控，这会影响同事之间的信任关系，也会降低运行效率。

内部威胁是低概率但高影响的事件，2016 Verizon DBIR支持这一论断。在2015年超过64,000次网络安全事件报告中，只有172起涉及内部人士滥用特权。超过75%的内部威胁事件是单独发生的，没有任何外部帮助，也没有与其他内部人员串通。

您可以做什么

除高度关键性系统外，解决了趋势中描述的基本问题之后，内部威胁即可得到妥善处置。这些其他趋势说明了测试系统最有可能受到威胁的方式。

但是，对于高度关键性系统，应尽早在设计过程中解决内部威胁。确定系统中最敏感或最关键的方面后，设计一个权限管理解决方案，将职责划分为至少两个角色，并将这两个职责分配给不同的人。根据Verizon DBIR的数据，这会将风险概率从77%下降至8%。

向测试系统供应商提问 

如何保护软件的源代码？

NI对其软件源代码实施了多层保护：NI要求使用唯一的用户名和密码进行更改，将公司的访问权限仅限于参与开发的工程团队，并定期查看访问控制列表。工程组选择将代码更改限制为访问控制列表的成员，或允许非成员提交代码更改。对于允许非成员更改代码的组，NI要求通知此类源代码更改并由团队成员进行代码审查。

解决测试系统的网络安全需求非常复杂。您可能会陷入无数潜在的安全风险中，也可能因为看起来不堪重负而永远无法开始。实际上，完美的安全性是不可能实现的，因为从理论上讲，只要有足够的资源和时间，每个解决方案都可能受到攻击。与其采取任何极端做法，不如根据实际情况确定问题的优先级，首先解决最重要的问题，并在此过程中运用常识。

首先要在相关人员（例如，您的管理层、团队、IT安全人员和供应商）之间达成共识，即解决安全威胁对每个人都很重要。这一共识还有助于提高所有相关人员对网络安全威胁的性质以及安全事件负面影响的认识。接下来，专门为网络安全项目、培训和技术分配时间和资金。由于测试系统面临的网络安全威胁是真实存在的，并且会给公司带来财务风险，因此公司的资源分配应专门用于评估和解决网络安全需求。在对网络安全威胁如何影响您的运营进行实际评估后，请按比例分配资源以满足这些需求。

• 详细了解NI安全性 
• 详细了解构建测试系统的最佳实践 
• 配置您的专属测试系统