企業動態

由清華大學-奇安信聯合研究中心團隊歷時半年編撰的《互聯網基礎設施與軟件安全年度發展研究報告（2020）》於近日正式出版。

出 品：清華大學（網絡研究院）- 奇安信集團網絡安全聯合研究中心
主 編：段海新
副主編：鄭曉峯　應凌雲　聶眉寧　劉躍

內 容 簡 介

互聯網基礎設施或服務與軟件系統的安全是互聯網所有應用安全可靠運行的基礎。本書從互聯網基礎設施安全、物聯網軟件安全、軟件供應鏈安全和惡意代碼分析四個方面對中國互聯網基礎設施和軟件安全風險進行了實證性的研究分析和測量。

首先我們推出了可以代表中國網絡基礎設施安全水平的熱門域名列表SecRank。然後，利用奇安信技術研究院開發的系列安全能力支持平台進行了大規模的測量和分析，其中包括天罡網絡基礎數據平台、司南威脅分析和溯源平台、天穹智能沙箱平台、天問軟件供應鏈安全分析平台以及木啄物聯網漏洞挖掘平台。在研究的基礎上形成了《我國互聯網基礎設施安全測量與分析報告》、《 物聯網安全測量與分析報告》、《軟件供應鏈安全分析報告》和《惡意樣本分析報告》，從而彙集成本書。

本書的研究表明，儘管我國互聯網基礎設施的安全狀態相較過去有所改善，但與國際主流的安全實踐相比仍存在一定的差距，特別是新的防範技術的部署方面。同時，一些新的攻擊方法以及新的防範技術也給安全管理帶來了新的挑戰（如加密DNS）。

本書的研究可以為網絡安全研究、為各行業的互聯網基礎設施安全建設、規劃和管理提供參考。

《互聯網基礎設施與軟件安全年度發展研究報告（2020）》本書共由四個子報告組成

03軟件供應鏈安全分析報告

隨着軟件生態的日益複雜，軟件供應鏈安全問題越來越多地引起了公眾和國家的重視。針對這一問題，奇安信技術研究院星圖實驗室利用自研的天問軟件供應鏈安全分析系統，對Windows、macOS、Android等不同平台上的系統程序、基礎軟件、熱門應用進行了深度剖析和全面測繪，內容涵蓋了近30萬款Windows軟件、約14萬個預裝Android App、4300多個Android ROM鏡像和5200多個IoT 固件，以及OpenSSL、Chromium 等被大量依賴的軟件模塊。

在此基礎上，本報告針對操作系統安全機制、應用程序代碼特性、軟件元素依賴關係等主題進行了深入分析，並結合具體案例，闡述了當前軟件供應鏈安全方面的各類典型問題，以及這些問題之間的共性特徵。

04惡意樣本分析報告

惡意代碼作為網絡攻擊的主要載體和表現形態，是網絡安全關注的重點、維護信息安全的關鍵，也是網絡安全檢測和防禦的主要對象。為了更好地瞭解目前的網絡安全狀況，摸清當前惡意代碼的攻擊方式、方法和發展變化趨勢，奇安信技術研究院星圖實驗室利用安全分析工具和天穹沙箱系統，對4000多萬個惡意樣本進行了詳細分析，從靜態屬性、動態行為等不同視角展現了惡意代碼各個維度的現狀。

清華大學（網絡研究院）-奇安信集團網絡安全聯合研究中心是清華大學與奇安信集團在網絡空間安全領域聯合創辦的產學研合作的研究機構。研究中心的目標是“做頂天立地的安全研究”，發揮清華大學在互聯網和信息安全領域的學術創新優勢，充分利用奇安信集團在安全產業的工程應用和實踐能力，重點研究網絡和數據安全、軟件和系統安全、物聯網和工控系統安全，並將學術和技術研究成果應用到互聯網通信、金融、交通等國家重要行業和基礎設施的安全防護，為國家和社會培養理論和實戰兼備的高級網絡安全人才。