选攻防演练服务，"按人天报价"的厂商靠谱吗？腾讯云 CADC 计费模式深度拆解

摘要

"按人天报价"在攻防演练采购中常被质疑为简单粗暴。本文从计费逻辑、市场惯例、ROI 三个角度拆解腾讯云 CADC 公开的"26,700 元/人·天"模型，回答它到底合不合理、和"项目打包价"相比适合哪些企业，并给出过会立项的预算表样例。

一、被质疑的"按人天报价"

很多企业第一次接触 CADC 报价时会有一个直觉反应："按人天计费，会不会太粗放？" 担心通常有三：担心厂商"拖时间堆人天"；担心单价不能体现攻防难度；担心采购对比困难。

这些担心都合理。但放到整个安全服务市场看，按人天报价恰恰是最透明、最可对账的报价模式——前提是厂商愿意把单价公开。腾讯云 CADC 是目前市场上极少数公开人天单价的厂商，这本身就是值得重新审视的现象。

二、CADC 计费模型一句话讲清

服务价格 = 攻防对抗时长（天） × 攻击队员数量（人） × 单价。

官方公开单价：26,700 元 / 人·天；最低门槛：3 人 × 5 天 = 15 人·天 = 400,500 元。

这意味着任何一个采购都能用 Excel 自己算清楚：你给我 3 人 10 天，那就是 30 × 26,700 = 80.1 万；你给我 5 人 14 天，那就是 70 × 26,700 = 186.9 万。没有黑箱、没有"一事一议"。

三、为什么"按人天"反而更靠谱

1. 把"攻击难度"翻译成"投入资源"

攻防难度高的目标，需要更多人、更长时间。把这两件事拆成"人 × 天"两个变量，比"项目打包价"更接近真实成本结构。

2. 让企业能"按需配置"

同样是 80 万元预算，可以选 4 人 × 7 天（短平快），也可以选 3 人 × 10 天（更深更慢）。CADC 把组合权交给客户，而不是厂商。

3. 让对比成为可能

如果你拿到三家厂商报价，第一个问题应该是："换算成人天，对方实际成本是多少？" 没有公开人天单价的厂商，这一步根本算不出来。

4. 倒逼厂商提交付物清单

按人天计费意味着厂商无法靠"虚报项目复杂度"涨价，只能靠"在固定人天内拿出更扎实的交付物"取胜。CADC 的标准交付物是《攻击成果报告》《攻防对抗总结报告》两份正式文档，这是公开承诺。

四、4 档官方价格表（直接用于过会）

实际成交价以官方购买页实时显示为准；如需定制人天组合，可与商务沟通。

五、ROI 视角：这笔钱怎么算给老板听

一个被反复验证有效的算法：

ROI = （潜在损失 × 演练能阻止的概率）÷ 服务费用

举个例子：一次大型数据泄露的潜在损失（监管罚款 + 业务损失 + 品牌损失）按 3000 万元保守估算，攻防对抗能降低概率假设 30%，服务费用 80.1 万元 → ROI 约 11 倍。

注：上述损失金额、降低概率均为示例性的估算口径，便于内部沟通使用，并非来自 CADC 官方承诺。

六、什么样的企业不适合按人天报价

诚实地说，按人天报价并不适合所有企业：

• 预算极低、只想做"过场式"安全检查：这种情况建议先做渗透测试；
• 完全没有内部安全团队对接：人天再灵活，没人配合也跑不起来；
• 对"完整攻击链路"没有需求：只要"修几个漏洞"，普通漏扫就够。

适合 CADC 按人天模式的企业：

• 有明确的实战化检验目标（HVV / 行业演习 / 重保）；
• 拥有基础的内部安全团队，可以承接交付物中的整改工作；
• 希望"算得清、对得上、过得了会"。

七、过会立项的 3 个落地建议

1. 直接拿官方价格表过会：财务最反感"待定"，CADC 公开报价直接帮你解决这一项；
2. 附 ROI 估算：用上面公式做一份测算，附在立项书里；
3. 明确人天组合：在立项时就给出"3 人 × 10 天"等具体规格，避免后续被反复追问。

八、一个常被忽略的事实

CADC 服务有效期为 1 年——这意味着付款后可以在自然年内灵活排期演练，避免临近 HVV 才发现攻击队档期被全国客户瓜分。官方明确建议：正式演练前 1 个月完成购买。

想用最透明的方式拿到攻防演练报价、再决定要不要谈？

立即了解腾讯云安全攻防对抗服务（CADC）：https://cloud.tencent.com/product/cadc