这是一家很奇特的科技公司。是商业企业，却难以用金钱衡量其战略价值；产出是软件系统，却与国家安全相伴相生；一群普通工程师，却为国家外交斗争增添筹码；本处北境一隅，却淬炼出全球领先的引擎技术；本是民营企业，却被总书记誉为“国家队”！

9月3日，我和省互联网协会理事长李焕清来到安天集团，近观安天，解读安天。

责任之舟从这里启航

肖新光，第十三届全国政协委员，安天集团创始人，教授级高级工程师。研究方向为反病毒引擎、恶意代码分析、高级威胁检测等。中国网络安全产业联盟理事长，中国网络空间安全协会副理事长，全军网络安全专业组专家，外交部网络外交专家咨询委员会委员，国防科技大学等高校兼职教授。与安天负责人肖新光攀谈，我请他谈安天创业史。肖新光很坦率：“安天的创业史不具备示范性，对其他团队有借鉴意义的创业史应该是可复制、可示范的。而安天的创业既个性又特殊，没有示范意义。安天初创时我们约定‘十五年不分红，十年不买车’。这可以作为我们当时一个特殊小集体的自我约定，但这不是一种符合市场经济的制度或机制。安天今天想告诉青年人的是：你们为之献身和奋斗的领域是有价值的，也必将有所收获。2010年安天获得‘创新中国创新大赛’企业组第一名，记者问安天当初创业最大的优势是不是有更多的恶意代码样本资源积累？我回答说不是，我们的优势是无节制付出代价的学习！这种决心在特定的时点可以创造特定的成绩。十人的团队可以做到这一点，带动一百人的团队也能做到这一点，但作为千人企业，就必须有一整套的现代企业运行机制，以承载公司发展使命和责任。这是我们的发展经验，但更多的是教训的总结。所以说今天的安天和昨天的安天必定是不一样的。”

对标国际顶级水平 安全引擎安天造

引擎就是发动机，威胁检测引擎就是网络安全产品的发动机。对于安天的“硬核”科技，安天人给出了这样的理解。威胁检测引擎是一种安全的中间件，各种产品设备和软件环境，通过嵌入威胁检测引擎就可以获得针对病毒、恶意代码、网络攻击威胁检测能力。历经多年积累，安天引擎全面支持x86、MIPS（含Cavium）、ARM、PowerPC等体系架构，兼容所有主流操作系统，并从单纯的威胁检测引擎发展为可以针对端点场景、网络设备场景、网络安全设备场景、智能终端场景、IoT的全能力安全中间件。安天的威胁检测引擎不仅为安天自身产品所使用，而且在全国前十大网络安全友商中，有一半使用安天的引擎；前十名国产手机厂商，均为安天引擎的合作伙伴。截止到2019年9月底，有累计超过60万台网络设备和网络安全设备，和17亿部移动智能终端设备，通过内置安天引擎获得威胁检测能力。安天成功使国内在供应链内生安全能力上摆脱了对卡巴斯基、小红伞等国际厂商的依赖，形成了自主、先进、安全的内生安全生态机制，特别是对基础信息产品国产化提供了良好的安全支撑。

但在安天创业之初，国际主流同行已有超过12年反病毒引擎研发历史，安天把追赶目标锁定在国际顶级厂商卡巴斯基的反病毒引擎上，奋起直追，首先构建了网络流量场景高速的差异化优势，而后在移动安全领域实现了换道超车。

2002年，安天赢得了参与国家级攻关项目的难得机遇——研制骨干网级别的恶意代码检测引擎，当时很多专家认为，这件事非常困难，当时的网络协议暂不能满足反病毒引擎的适用场景，而且当时的检测引擎自身速度也非常缓慢。但安天人迎难而上，在包级别打造了一个全新的高速检测引擎和特征规则机制。

2006年，安天参研系统通过了何德全院士为专家组长的专家鉴定，对安天所研发的引擎成果，鉴定意见中给与了如下评价“首次提出……基于特征码优化的高性能网络恶意代码检测引擎，实际测试表明，在规则集规模16万条的情况下，检测速度超过1Gbps。”经过不断修改完善，系统终于全面上线。这个名为VDS（病毒检测系统）的系统，为我国相关主管部门监测重大病毒疫情，及时捕获样本，及时通报预警，起到了重要支撑作用。这套系统也成为安天探海威胁检测系统的前身。

反病毒引擎的核心指标是检出率，肖新光坦诚，卡巴斯基、赛门铁克、迈克菲等国际知名反病毒厂商都是上世纪80年代后期开始研发反病毒引擎的，这个历史积累并不能短时间内超越。安天在基础引擎检出率上接近卡巴斯基，基本上用了16年左右的时间，但安天在移动引擎上于2014年实现了换道超车。2010年，安天在“砸锅卖铁保移动检测”的战略指引下，选择武汉大学优秀毕业生潘宣辰为主将，建立了武汉研发中心（安天移动安全团队），在安天基础引擎和样本积累基础上，重新规划和实现了移动引擎，并研发了安天第二代海量样本自动化分析平台。此后，安天开始换道超车，在移动安全领域迅速赶超。2013年，安天移动引擎在全球二十多家厂商参与的AV-TEST组织的6次年度测试中，取得总成绩第一名，力压赛门铁克、卡巴斯基等厂商。次年参加AV-C评测，上下半年两次检出率均为100%，成为唯一交出双百成绩的安全厂商。迈克尔.波特（Michael E.Porter）1980年总结了三种战略类型，即总成本领先战略、差别化战略和专一化战略。安天创业时立下追赶技术标尺企业的雄心壮志，实行差异化研发和赶超，一点突破，带动全局，把握了技术发展趋势，获得了更加强劲的发展原动力。

安天公司的组织布局

应急精兵对抗高级威胁

安天是中国网络安全应急体系中的重要支撑力量。2001年8月6日，“红色代码Ⅱ”蠕虫病毒国内爆发，安天依靠刚刚搭建的蜜罐系统，率先捕获病毒样本，发出警告，并在6小时内发布了专杀工具。2004年4月30日，“震荡波”蠕虫病毒在国内爆发，安天CERT小组第一时间截获病毒样本，进行紧急分析，快速提出一揽子袖珍解决方案。同时，根据计算机犯罪取证经验，运用编码心理学方法，判断出这一病毒与此前流行数月的网络天空病毒作者相同，并确定病毒作者在德国，结论上报给国家有关部门。后来，德国下萨克森州罗滕堡的18岁少年Sven Jaschan因编写该病毒而被捕，印证了安天的判断。安天作为中国应急响应体系的重要企业节点，以“第一时间启动，同时应对多线威胁，三体系联动，四作业面协同”为目标建设应急体系。

从2001到2010年，安天的应急分析工作视角一直是围绕快速传播、影响面大、社会影响力大的威胁，为国家应急部门和客户提供支撑。改变安天应急分析工作重心的是2010年的震网事件，伊朗铀离心机工厂遭到震网病毒攻击，大量离心机损坏，离心机转速设定被篡改，几乎彻底阻断了伊朗核计划。而震网事件曝光前，其攻击高度定向、潜伏期长，攻击手法之高超，恶意代码工程体系之复杂，都超出了安天人的想象。这不是寻常的网络攻击，这就是一场网络空间的作战行动。网空威胁的主要驱动力，已经从牟利转化为大国博弈和地缘利益竞合。这种被称为APT（高级持续性威胁）的攻击不断浮出水面。肖新光决心带领安天团队进行转战新空间，应对更严峻的威胁挑战。

安天从2010年开始，先后深入分析了震网、毒曲、高斯、火焰等高级威胁的恶意代码工程体系，率先捕获或扩线发现了白象、海莲花、绿斑等高级威胁组织并持续追踪。安天深入跟踪了超级大国的方程式攻击组织，发布了五篇高水平分析报告，对其针对硬盘固件持久化做了深度分析，独家曝光了其在Linux和Solaris平台的样本，完成了其主机恶意代码积木拼图，完整复盘了其对中东某金融机构的攻击过程。安天《针对“震网”事件的系列分析报告》、《“方程式组织”攻击SWIFT服务提供商EastNets事件复盘分析报告》、《从“美向俄电网植入恶意代码”有关报道探讨威胁猎杀的重要性及实施方法》等报告，都引起了国家有关部门的重视。

针对2012年以来，攻击活动十分频繁的南亚某国的“白象”攻击组织，安天通过威胁情报和监测捕获体系，通过样本扩线、关联分析等手段，不断扩大监测线索，进行了持续性监测和深度解析，先后形成了分析报告，《白象的舞步——来自南亚次大陆的网络攻击》、《潜伏的象群——来自南亚次大陆的系列网络攻击行动》，在后一篇报告中安天对威胁组织进行了完整画像，直接结合开源情报锁定一名自然人。该技术成果刊登在国家互联网应急中心的年度报告中，对攻击方形成了有效威慑。网络攻击是现实社会攻击的映射和放大。应对网络安全高级威胁手段有很多，予以曝光也是一种重要的威慑手段：在第一时间发现、捕获、揭露，直至公之于众。

但安天人意识到，随着APT攻击日趋常态化，曝光的威慑力已经下降，面对高级威胁，最重要的还是赋能客户建立起动态综合安全防御体系，形成常态化的威胁猎杀能力。

“你们也是国家队，虽然你们是民营企业”

从2000年创业到2013年是安天发展的第一个阶段，安天以卡巴斯基为技术能力对标，作为上游技术供应商，为全球合作伙伴输出反病毒引擎核心能力。2013年，美方加大在网络空间对中国进行制裁封堵，对中国进行抹黑构陷，安天对标美国厂商火眼，及时发现曝光带有政府背景外方威胁，为国家外交斗争提供博弈素材，也为自身产品体系和技术体系的调整，建立检验能力的“敌情想定”。第三个阶段是2016年5月25日，习近平总书记来安天视察，殷殷嘱托：“你们也是国家队，虽然你们是民营企业。”安天人决心走出自己反恶意代码和上游技术授权模式的舒适区，开始战略转型。

安天人基于自己在核心威胁检测引擎长期积累，和实现支撑威胁分析的平台体系优势，选择了协助客户建立态势感知平台，以指挥控制积极防御体系作为自己的主攻方向。安天人认为，态势感知不是“监测+地图炮”，安天人希望坚持数年重兵投入，研发出能有效管理情境态势，来驱动响应行动的战术型态势感知体系，形成实战化运行能力，协助客户掌控敌情，应对高级威胁。安天希望对标的系统，正是美军的积极防御平台（ACD系统）。安天（包括以反恶意代码为基础能力的安全企业）过去较长时间的运行模式（恶意代码捕获、自动化+人工分析、反病毒引擎升级）是一个厂商的自我能力闭环，并未有效解决让客户侧的网空防御人员处于控制闭环之上的问题。而走向前台则意味着要达成进一步在客户场景下，围绕用户侧的网空防御人员进行态势感知和积极防御能力的建设，真正地实现安全厂商与客户的闭环，直至赋能客户、实现与攻击者的闭环。这是一个艰难的自我突破与挑战，任重道远。

在安天哈尔滨、武汉、成都、北京的中心机房里，被称为“赛博超脑”的安全分析平台高速运转着，大量前端安全的事件日志被泛化、分析、关联，最终转化为综合研判结果和情报线索。每一个新增的未知文件都经过多道工序，首先是自动化预处理，第二步是深度静态分析，第三步是深度动态分析，第四步是多引擎对照扫描，最后进入综合分析系统判定。所有的文件都在这个过程中被拆解为几百个乃至上千个可分析向量，再由这些向量提取相关标识，判断这些文件是否是恶意代码。是新的恶意代码家族，还是原有恶意代码的变种，来自哪个攻击组织，最终形成一个庞大的威胁知识图谱。这条流水线昼夜运转，每天处理几十万个文件，分析数以亿计的数据，为国家主管部门和安天客户源源不断地提供着威胁情报、风险预警、病毒趋势、深度解析，成为国家主管部门和战略客户进行网络安全决策的重要依据。

通过十多年的自主研发积累，安天形成了由智甲终端防御系统、探海威胁检测系统、追影威胁分析系统、捕风威胁捕获系统（蜜罐）、镇关威胁阻断系统、拓痕威胁处置系统组成的基础产品矩阵。研发了安天资产安全运维管理系统、安天威胁情报系统等平台化产品。目前正在持续研发旨在为防御体系打造的指挥控制中枢的战术型态势感知平台。

安天端点安全研发中心工程师韩松楠向我介绍和演示了“智甲终端防御系统（IEP）”，专为政府、军队、交通、金融、能源、企业的业务网络、办公网络、专用网络、桌面虚拟化办公网络、数据中心终端等提供安全防御的产品。2016年5月28日，某投资集团的两个对外网站遭到黑客攻击后被植入勒索软件，20G的数据库文件被加密，由于没有备份，可能带来严重损失。安天工程师现场取证，奋战3天，另辟蹊径，绕开了解密，通过数据恢复的方式还原出了被删除加密前的原始文件，并锁定了攻击者入侵路径。2019年3月，某军工集团客户上百台主机感染木马病毒，安天工程师携带“应急工具箱”赶赴现场，迅速找到“驱动人生”蠕虫样本，使用安天“追影”威胁分析系统定位了攻击者IP，用“智甲”终端防御系统（IEP）对病毒进行全面查杀，解决了问题。安天智甲产品负责人徐翰隆告诉我：“安天智甲产品在国产化系统安全方面进行了先发布局，在端点全要素采集和分析、全网威胁追溯方面都具有较大优势。”

安天反病毒引擎研发工程师韩耀光打开设备，详细演示了通过安天威胁情报系统扩线分析“海莲花”攻击的过程，对涉及“海莲花”组织使用的样本和通讯设施进行全面分析，通过域名和子域名关联、文件与通讯关联、基因特征同源、导入表和执行序列近似等信息在屏幕上一目了然。安天的分析工程师驾驭着威胁情报大数据体系和集成化分析环境，让网空威胁活动原形毕露。

安天态势感知研发中心工程师孙可人告诉我，关键基础设施和政企单位的重要系统是境内外高级威胁行为体的主攻击目标，安天从今年年初起将战术型态势感知平台列为大兵团投入的重点研发项目，希望用未来几年的持续投入，形成全面领先能力。平台投入使用后，可帮助用户实现有效发现、快速分析、协同响应，协助客户对长期潜伏的高级威胁实现猎杀，有效落实总书记关于“关口前移，防患于未然”的要求。

安天“捕风”威胁捕获系统是安天态势感知平台的重要部件，俗称蜜罐“系统”，从2002年开始安天就研发了第一代蜜罐，其原理是在网络模拟重要信息服务，让网络攻击者认为这是一个真实的系统，于是对它发起攻击，然后所有的攻击动作都会被完整记录下来。安天的探海（流量威胁检测）和追影（样本深度分析），在国内有比较权威的评价。2018年国家互联网应急中心分别邀请了国内13家和14家厂商进行流量分析引擎和恶意代码分析引擎比赛，安天两个产品均获第一名，赢得“双冠王”。

安天集团组织体系由八条线组成。研究线，安天研究院在哈尔滨、北京、武汉、深圳、成都设有研发中心，研究领域各有侧重，还有一个国家实验室、两个省级工程中心和重点实验室，一个博士后创新创业基地和多个高校联合实验室，源源不断地为安天输送新理念、新技术。研发线，包括态势感知平台、端点安全产品、监测分析产品、移动安全产品等子线。安天应急处理中心刘佳男介绍他所在的公共安全能力线，主要对接涉及国家安全、社会安全的相关应急响应、威胁处置、安全分析等。安天大部分的安全分析报告由他们完成，他们直接对接国家应急中心和各省分中心等国家和地方主管部门。中台线，包括交付、服务、售前等，负责在用户处部署和实施安全产品，提供客户服务，并在客户遭遇网络安全事件时，第一时间赶赴现场。销售线，包括行业销售和区域销售，以及赋能和渠道等。

在安天名为“机器”的主题会议室，摆放着长征五号运载火箭、战略导弹、主力战舰和大飞机的模型。安天副总裁王小丰告诉我：“这些都是国之重器，安天为国家主管部门、军队、各行业和关键基础设施等高安全需求客户提供整体解决方案，为载人航天、探月工程、空间站对接、大飞机首飞等提供安全保障。”安天开展“国之重器”网络安全研发目前没有国家资助，完全由企业承担，他们看重的是国家责任。安天与战略客户合作设立了若干重点态势感知和动态综合安全防御“样板间”，覆盖军队、民航、电力等关键信息基础设施。

盘点一下安天的技术成就：——申请专利957项，获得授权专利336项，其中一项专利获得中国优秀发明专利奖，是国家知识产权示范企业。获得国家科技进步二等奖一项，省部级奖项四项。

安天凭借坚持自主创新研发和承担国家安全责任获得了业内认可，安天是中国网络空间安全协会副理事长单位，中国网络安全产业联盟理事长单位。安天的技术能力也获得了国际广泛关注，2015年，美国网络安全调查机构Cybersecurity Ventures公布了全球网络空间创新500强排名，安天以第95名位列中国上榜厂商之首。2018年，安天排名再次领跑该排行榜。

安天的工程师文化

网络空间中的国家安全、国防安全需求还未完全释放，中国的网络安全产业体量与“网络强国”尚不匹配。安天此前做了一些自发的尝试和探索，有很多值得总结的教训。“安天不做合规市场的因循者，而是要做破局者。破局虽难，但安天执意要做破局者。为了这个胜利，我们一直在坚持，但我们不只是要浴血坚持，而且要浴血胜利。”肖新光说。

安天的财富是大脑，安天的资产是人才。在黑龙江这块高寒的土地上，为了吸引人、留住人，并且人尽其才，安天一方面靠自身的工程师文化，鼓励通过创造性的思维和工程技术能力为客户解决问题，另一方面安天更需要建立完善的激励机制。肖新光说：“我们从集团到二级单位制定了激励政策，名单已经覆盖到了160人，包括了安天所有核心员工。”

安天在全国设有六个研发中心，既是战略拓展之需要，也是人才布局之需要。例如安天研究院，邀请中国网络空间研究院副院长陈晓桦研究员担纲院长，他在网络与信息安全理论与政策研究、技术开发、工具与平台研制方面成就卓著，曾获2008年国家科学技术进步一等奖。安天始终坚持校园招聘、自主培养、不怕流失的人才选拔导向。肖新光说：“安全企业相比互联网企业产出能力要弱的多，在技术优势尚未完全转换成市场规模之前，哈尔滨的薪酬标准不能跟北上广比，行业的薪酬也远不能和互联网厂商相比。因此，安天发展不能完全依赖工程师的个体能力，高能力引擎、产品、分析成果，靠联合作业，靠支撑工程体系的知识循环迭代和大数据积累来完成，而这些是绝大多数安全厂商不具备的。这些年安天有人才流失，但骨干则坚持了下来。安天坚持最新锐的方向，把最高级的威胁作为研究对象，拥有海量安全威胁样本和数据资源，能够为有创造力的年轻人提供施展创造力的广阔平台。安天要把自己的技术积累向客户有效安全价值转化的框架体系做好，形成企业营收水平的高速增长。我们要带领年轻人带着希望，走向未来。”肖新光说的安天优势，本质就是“平台引力”。“平台引力”是公司独有的，是人才发育成长生态，一旦选择离开，就会失去资源、知识、经验的体系支撑，这是一种有吸引力的力量。安天团队精神、体系化能力导向是安天必须坚持和发扬的东西。在安天有一个省总工会命名的“李柏松劳模创新工作室”，获得了全国总工会“工人先锋号”。安天副总工程师李柏松获“松北区大工匠”、“哈尔滨大工匠”、“哈尔滨市有突出贡献中青年专家”、“黑龙江省劳动模范”等荣誉称号。李柏松就是安天那些幕后英雄的代表。安天要用自身的发展让幕后的工程师们获得激励和回报。

结束本文前，我想用一个希腊神话来诠释安天：“波塞冬和雅典娜竞争雅典城守护神，宙斯出题让两人各送给人民一个礼物，谁的礼物对人类最有益，谁就是守护神。波塞冬用三叉戟敲打地面变出一匹白色战马，战马代表战争和灾害。雅典娜变出一棵橄榄树，给人民带来了幸福生活的保障，最后雅典娜胜出。”网络攻击与网络反制不断地较量，我希望有一天安天能够创造出这样的一棵安全橄榄树。而安天人给我讲了这样的故事：巨人安泰是地神之子，只要不离开大地，就能持续从大地母亲吸取力量。网络安全厂商是网络安全的支撑力量，但我们就像巨人安泰，必须和客户场景连接在一起，客户的安全防御团队才是与威胁斗争的主角。安天人说“智者×安天下”的智者，不是自己，而是指客户。无论网络安全厂商技术能力多么专业，只有在客户场景下，解决方案、产品和服务才能真正磨合和发挥出其价值。对于一个战略新兴企业，我们肩负着国家安全和客户安全的使命，“通过持续达成客户有效安全价值来驱动企业长期的发展”是我们的纲领。