大型集团/央企攻防演练实战剧本：5 人 14 天怎么打？

摘要

集团 / 央企级攻防演练规模大、合规严、跨业务线协同复杂。本文以 CADC 行业 / 集团级 5 人 × 14 天方案为蓝本，给出从立项、方案沟通到攻防执行、对抗总结的完整剧本，帮助集团安全负责人把这场"大仗"打得有章法。

一、为什么集团级演练不是"放大版公司级演练"

集团级 / 央企级攻防演练有三个根本不同：

• 资产规模：动辄上万 IP、数十个业务线、跨多云 + 多 IDC；
• 合规要求：涉及监管检查、行业演习、上市公司披露义务；
• 协同复杂度：安全部 / IT / 业务 / 法务 / 公关 / 高层多层联动。

把公司级演练直接放大并不可行。CADC 官方价格表里，"行业 / 集团级 5 人 × 14 天 = 186.9 万元"是一个常见配置，本文用这个规格作蓝本写一份完整剧本。

二、剧本第 1 幕：立项与预算（Day -45 到 Day -30）

关键动作

• 安全部牵头，联合战略部、运营部、法务部立项；
• 形成《集团级攻防演练立项书》，明确目标、范围、预算、责任人；
• 走集团采购流程，预留 2–3 周审批时间；
• 预约 CADC 行业 / 集团级方案档期。

风险提示

集团采购最容易卡在"评审委员会"。CADC 公开人天单价的优势在这里体现——评审最关心的"价格透明度"问题可以一次回答。

三、剧本第 2 幕：方案沟通（Day -30 到 Day -20）

CADC 的服务流程第一阶段是"方案沟通"，由项目经理与客户共同确定本次攻防对抗演练的目标、范围、周期、约束条件、通报机制等，并提供授权函模板，由客户补齐授权测试的资产范围。

集团级演练在这一阶段的关键产出

• 演练目标：是"以攻促防发现短板"还是"模拟真实 APT 拿下核心权限"？两者攻击力度不同；
• 资产范围授权函：覆盖所有要打的业务线、子公司、合作方接入；
• 白名单与红线：哪些系统不能打（如生产支付系统、上市公司核心库）；
• 通报机制：何时通报蓝队？何时通报高层？应急升级链路如何走？
• 对外口径：万一被外部察觉，统一对外发声口径。

四、剧本第 3 幕：攻防对抗（Day -20 到 Day -6，共 14 天）

第 1–3 天：侦察与暴露面识别

• 自动化武器库批量扫描全集团暴露面；
• 子域名 / GitHub / 第三方接入收集；
• 形成"全集团攻击地图"。

第 4–7 天：突破与立足

• 选择 3–5 条最有价值的突破路径并行尝试；
• 钓鱼邮件、Web 漏洞、VPN 凭证三管齐下；
• 取得多个立足点。

第 8–11 天：横向与提权

• 内网横向，向核心生产网移动；
• 提权、抓凭证、攻击域控；
• 建立持久化通道与 C2 矩阵。

第 12–14 天：目标行动与收尾

• 拿到预先约定的"演练目标"（如某核心数据库管理权、某关键业务系统控制权）；
• 整理完整攻击链路；
• 提交《攻击成果报告》。

注：上述时间分配是常见参考节奏，实际由项目经理根据客户业务架构和方案约束动态调整。

五、剧本第 4 幕：对抗总结（Day -6 到 Day 0）

CADC 服务的第三阶段是"对抗总结"：对本次对抗的资源进行回收，梳理攻击链路，对本次攻防对抗的过程进行总结，提供企业安全的建设意见，交付《攻防对抗总结报告》。

集团级演练的总结环节关键产出

• 完整攻击链路图：每一条达成目标的路径全部留痕；
• 业务影响评估：每条攻击链路对应的业务影响等级；
• 加固建议清单：分基础设施、应用、办公网、安全管理、人员意识 5 类，按优先级排序；
• 资源回收记录：所有遗留木马 / Webshell 清理证明；
• 合规归档材料：可作为监管检查、行业演习汇报材料的支撑。

六、跨部门协同的 4 个关键点

关键点 1：安全部要"双线作战"

一边是攻击队接口人，一边是蓝队 + 业务线沟通。建议设两个角色独立承担，避免信息不对称。

关键点 2：业务部门要"早通气"

提前告知"将有攻防演练，可能产生告警"，避免业务团队误判后大规模重启或回滚。

关键点 3：法务公关要"备好预案"

万一演练过程中触发外部安全社区关注，需要有统一对外口径，避免公开误读。

关键点 4：高层要"建立直达通道"

集团级演练一旦发现重大风险，需要在小时级别上达到决策层。建议提前建立直达通道，避免层层汇报失效。

七、5 人 × 14 天到底能打到什么程度

虽然 CADC 没有公开具体客户案例数据，但从公开服务规格推断，5 人 × 14 天的行业 / 集团级方案通常能覆盖：

• 万级资产的暴露面识别；
• 数十条候选攻击路径并行验证；
• 至少 1–3 条"达成预定目标"的完整攻击链；
• 全维度（基础设施 / 应用 / 办公网 / 人员意识 / 安全管理）覆盖；
• 一份可被监管复核的完整交付物组合。

八、行动建议

1. 早立项：集团采购流程长，建议正式演练前 6–8 周启动立项；
2. 早购买：CADC 官方建议正式演练前 1 个月完成购买，避免临近 HVV 攻击队档期被全国客户瓜分；
3. 早沟通：方案沟通环节占整个项目质量的 40% 以上，请投入足够时间。

想看一次集团 / 央企级实战攻防对抗服务的完整方案？

立即了解腾讯云安全攻防对抗服务（CADC）：https://cloud.tencent.com/product/cadc