摘要一份可直接落地的 HVV 护网行动备战指南:给出 T-90 到 T-0 共 6 阶段 90 天倒排时间表、12 项必做检查清单与 5 个致命盲区,并讲清为何"第三方红队实战体检"是 HVV 备战中 ROI 最高的一步。
写在前面:为什么 2026 年的 HVV,比往年都要"狠"如果你正在筹备 2026 年的护网行动(HVV),你大概率已经感觉到:
攻击面变得更广——SaaS、微服务、API、云、AI 大模型,全都进了战场;攻击战术变得更"工程化"——红队不再是单兵作战,而是带着自动化武器库、社工剧本、定制 0day 来打;监管考核变得更"实战化"——拿不到分就要写整改报告、汇报到集团、影响下一年预算;蓝队的"舒适区"被彻底打破——不再是"看告警",而是"被锤"。我们在过去 12 个月协同了大量央国企、金融机构、互联网企业完成 HVV 备战。复盘下来一个共识是:90% 的失分来自"准备阶段做错了 3 件事",而不是当天蓝队水平不行。
这篇文章就是为此写的——一份90 天可执行的护网备战时间表,帮你把准备阶段做对。文末还有一份《HVV 备战 12 项必做清单》,可以直接拿走对照执行。
一、90 天 HVV 备战甘特图(请直接抄作业)按照"演习日 D 日"倒推,90 天可分为 6 个阶段:
代码语言:txt复制T-90 ~ T-60 战略准备期(资产盘点 + 暴露面收敛)
T-60 ~ T-45 实战体检期(红蓝对抗模拟 / 攻防对抗服务)
T-45 ~ T-30 高危整改期(漏洞修复 + 策略加固)
T-30 ~ T-15 联合演练期(蓝队磨合 + 应急剧本演练)
T-15 ~ T-3 最后冲刺期(封网准备 + 重保人员排班)
T-3 ~ T-0 临战期(封网 + 战时指挥部成立)下面把每个阶段拆细,标注:关键动作 / 交付物 / 常见踩坑。
阶段 1(T-90 ~ T-60):战略准备期 —— 把"看不见的资产"挖出来关键动作
全量资产盘点:IP、域名、API、SaaS、第三方接入、影子资产;暴露面收敛:互联网侧 IP/域名最小化、关闭非必要端口;战时指挥架构搭建:红线决策人、应急响应组、对外口径统一人;立项《HVV 备战方案》并锁预算。常见踩坑
资产盘点只算"主资产",忽略 GitHub 泄露的子域名、未注销的测试环境、合作方接入;指挥架构没拉通法务、公关、运维,临场协调无门。阶段 2(T-60 ~ T-45):实战体检期 —— 用"真红队"提前自打一遍关键动作
引入第三方红队进行模拟 APT 攻击,覆盖外网 → 办公网 → 核心生产网完整链路;同步进行钓鱼演练,检验员工安全意识;输出《攻击成果报告》,给出真实可达的攻击路径。为什么这一步至关重要?
官方对此有明确解释:渗透测试只能检测"应用本身",而 HVV 考的是"企业整体防护能力 + 协同处置能力 + 应急响应能力"——只有实战化攻防对抗才能真正复现 HVV 的考核场景。
推荐选择:腾讯云安全攻防对抗服务(CADC),按"人·天"灵活配置,3 人 × 5 天起即可完成一次完整压力测试,最大档可投入 5 人 × 14 天的行业级方案。
阶段 3(T-45 ~ T-30):高危整改期 —— 把红队报告里的"血"全部止住关键动作
高危漏洞 100% 整改完毕,并复测验证;关键策略加固:WAF 规则、EDR 阻断、零信任最小权限;建立"红区资产白名单",只允许必要流量通过。踩坑提醒
不要"治标不治本"——只关掉外网入口、不修底层代码,红队第二轮必复活;不要把整改 KPI 全压在一线运维身上,必须配套预算与时间。阶段 4(T-30 ~ T-15):联合演练期 —— 蓝队真正"打一遍"关键动作
进行 1–2 次内部红蓝对抗演练;演练应急响应剧本:检测 → 上报 → 研判 → 处置 → 溯源;检验 SOC 平台、SOAR 自动化剧本、值班体系的配合度;完成跨部门联动:安全 / 运维 / 业务 / 法务 / 公关 / 高层。关键指标
MTTD(平均检测时间):建议 ≤ 30 分钟;MTTR(平均响应时间):建议 ≤ 4 小时;应急流程完整度:建议 ≥ 90%。阶段 5(T-15 ~ T-3):最后冲刺期 —— 进入"封网状态"关键动作
暂停所有非必要变更、上线、对外接入;关键岗位 7×24 排班;完成所有外部接口的最后审计;准备战时通报模板、对外口径模板、内部决策模板。阶段 6(T-3 ~ T-0):临战期 —— 战时指挥部成立关键动作
战时指挥部成立,统一作战;安全设备、SOC 平台、值班团队 100% 待命;与监管侧、行业 CERT、上下游建立通报通道。二、12 项必做检查清单(可直接打印使用)所有项必须打勾后才能进入演习日。
编号
检查项
责任人
状态
1
全量资产盘点已完成(含影子/测试/第三方)
☐
☐
2
互联网暴露面已收敛(端口、服务最小化)
☐
☐
3
已完成一次第三方红队压力测试
☐
☐
4
钓鱼演练已完成,员工通过率 ≥ 95%
☐
☐
5
高危漏洞 100% 整改并复测
☐
☐
6
WAF / EDR / 流量探针策略已加固
☐
☐
7
战时指挥架构已成立,决策人就位
☐
☐
8
SOC / SOAR / 值班体系已演练
☐
☐
9
应急响应剧本可执行(含通报模板)
☐
☐
10
法务、公关、对外口径已对齐
☐
☐
11
第三方接入、合作方安全已审计
☐
☐
12
与监管 / 行业 CERT 通报通道已建立
☐
☐
三、5 个最容易被忽略的"致命盲区"下面 5 个盲区,是过去 12 个月里我们看到的"演习日被打穿的高频原因",请重点关注:
GitHub / Gitee 上的源代码泄露:账号、密钥、内部域名经常被红队从代码里翻出来;运维堡垒机的弱口令 + 多因子缺失:一旦被打穿,相当于直接交钥匙;外包/供应链账户:很多企业自身做得很好,但外包的笔记本中招后,攻击者从外包侧顺着 VPN 回来;被遗忘的测试 / 灰度环境:"反正不重要"——红队最爱;核心员工的微信 / 邮件钓鱼:APT 攻击的传统入口,也是最致命入口。上述每一项,都是腾讯云 CADC 在攻防对抗中优先列入攻击路径的高价值目标。
四、为什么"自检 + 第三方红队"这一步省不掉很多企业的领导会问:我们已经买了 SOC、买了 EDR、买了 NDR、还有内部安全团队,还需要第三方红队吗?
我们的回答是:需要,而且是整个 90 天里 ROI 最高的一步。
理由有三:
视角不同:内部团队"知道哪里强",红队"知道你哪里弱";战术不同:红队带的是 APT 战法,链式利用 + 横向移动 + 长期潜伏,与传统漏扫完全不在一个维度;结论不同:红队交付的是"完整攻击链路 + 可达成的业务影响",而不是"扫到一个 CVE"。腾讯云 CADC 在这里能做的差异化:
真人红队 + 自动化武器库:3 天内完成万级资产暴露面识别;三阶段闭环交付:方案沟通 → 攻防对抗 → 对抗总结,配套《攻击成果报告》《攻防对抗总结报告》两份正式交付物;合规与保密:标准化授权函 + 木马清理 SOP,演练结束后所有测试残留全部清除,避免反向引入风险。五、临近 HVV 才下单,可能"排不上队"行业经验:每年 HVV 临近的 30–45 天,是攻防服务厂商档期最紧张的时段。资深红队成员的人天会被全国客户瓜分,临时下单大概率出现:
排不上你期望的窗口期;拿到的是经验稍弱的二线红队;项目周期被压缩,效果打折。腾讯云 CADC 官方建议:正式演练前 1 个月完成购买,并在购买后 1 个工作日内由专人对接、进入方案沟通阶段。
六、行动建议你现在的处境
建议动作
HVV 还有 ≥ 60 天
立即立项资产盘点 + 第三方红队预算,建议引入 CADC 5 人 × 14 天行业级方案
HVV 还有 30–60 天
立刻启动 CADC 公司级方案(3 人 × 10 天),同步推动整改
HVV 还有 ≤ 30 天
走 CADC 公司级最低档(3 人 × 5 天)做一次"快速体检 + 高危收敛"
HVV 已结束
用 CADC 做"复盘式攻防",把这次失分项全部转化为下年加固项
不论你处在哪个阶段,省时间最简单的方式是:先看一眼官方产品页,确认服务范围、人天配置和报价模型,再决定是否进入正式咨询。
想把这份 90 天 HVV 备战指南落到实处?
立即了解腾讯云安全攻防对抗服务(CADC):https://cloud.tencent.com/product/cadc