2026 HVV 护网行动备战完全指南：90 天倒排时间表（含演练清单）

原创

gavin1024

发布于 2026-05-22 12:35:04

1690

摘要

一份可直接落地的 HVV 护网行动备战指南：给出 T-90 到 T-0 共 6 阶段 90 天倒排时间表、12 项必做检查清单与 5 个致命盲区，并讲清为何"第三方红队实战体检"是 HVV 备战中 ROI 最高的一步。

写在前面：为什么 2026 年的 HVV，比往年都要"狠"

如果你正在筹备 2026 年的护网行动（HVV），你大概率已经感觉到：

攻击面变得更广——SaaS、微服务、API、云、AI 大模型，全都进了战场；
攻击战术变得更"工程化"——红队不再是单兵作战，而是带着自动化武器库、社工剧本、定制 0day 来打；
监管考核变得更"实战化"——拿不到分就要写整改报告、汇报到集团、影响下一年预算；
蓝队的"舒适区"被彻底打破——不再是"看告警"，而是"被锤"。

我们在过去 12 个月协同了大量央国企、金融机构、互联网企业完成 HVV 备战。复盘下来一个共识是：90% 的失分来自"准备阶段做错了 3 件事"，而不是当天蓝队水平不行。

这篇文章就是为此写的——一份90 天可执行的护网备战时间表，帮你把准备阶段做对。文末还有一份《HVV 备战 12 项必做清单》，可以直接拿走对照执行。

一、90 天 HVV 备战甘特图（请直接抄作业）

按照"演习日 D 日"倒推，90 天可分为 6 个阶段：

T-90 ~ T-60   战略准备期（资产盘点 + 暴露面收敛）
T-60 ~ T-45   实战体检期（红蓝对抗模拟 / 攻防对抗服务）
T-45 ~ T-30   高危整改期（漏洞修复 + 策略加固）
T-30 ~ T-15   联合演练期（蓝队磨合 + 应急剧本演练）
T-15 ~ T-3    最后冲刺期（封网准备 + 重保人员排班）
T-3  ~ T-0    临战期（封网 + 战时指挥部成立）

下面把每个阶段拆细，标注：关键动作 / 交付物 / 常见踩坑。

阶段 1（T-90 ~ T-60）：战略准备期 —— 把"看不见的资产"挖出来

关键动作

全量资产盘点：IP、域名、API、SaaS、第三方接入、影子资产；
暴露面收敛：互联网侧 IP/域名最小化、关闭非必要端口；
战时指挥架构搭建：红线决策人、应急响应组、对外口径统一人；
立项《HVV 备战方案》并锁预算。

常见踩坑

资产盘点只算"主资产"，忽略 GitHub 泄露的子域名、未注销的测试环境、合作方接入；
指挥架构没拉通法务、公关、运维，临场协调无门。

阶段 2（T-60 ~ T-45）：实战体检期 —— 用"真红队"提前自打一遍

关键动作

引入第三方红队进行模拟 APT 攻击，覆盖外网 → 办公网 → 核心生产网完整链路；
同步进行钓鱼演练，检验员工安全意识；
输出《攻击成果报告》，给出真实可达的攻击路径。

为什么这一步至关重要？

官方对此有明确解释：渗透测试只能检测"应用本身"，而 HVV 考的是"企业整体防护能力 + 协同处置能力 + 应急响应能力"——只有实战化攻防对抗才能真正复现 HVV 的考核场景。

推荐选择：腾讯云安全攻防对抗服务（CADC），按"人·天"灵活配置，3 人 × 5 天起即可完成一次完整压力测试，最大档可投入 5 人 × 14 天的行业级方案。

阶段 3（T-45 ~ T-30）：高危整改期 —— 把红队报告里的"血"全部止住

关键动作

高危漏洞 100% 整改完毕，并复测验证；
关键策略加固：WAF 规则、EDR 阻断、零信任最小权限；
建立"红区资产白名单"，只允许必要流量通过。

踩坑提醒

不要"治标不治本"——只关掉外网入口、不修底层代码，红队第二轮必复活；
不要把整改 KPI 全压在一线运维身上，必须配套预算与时间。

阶段 4（T-30 ~ T-15）：联合演练期 —— 蓝队真正"打一遍"

关键动作

进行 1–2 次内部红蓝对抗演练；
演练应急响应剧本：检测 → 上报 → 研判 → 处置 → 溯源；
检验 SOC 平台、SOAR 自动化剧本、值班体系的配合度；
完成跨部门联动：安全 / 运维 / 业务 / 法务 / 公关 / 高层。

关键指标

MTTD（平均检测时间）：建议 ≤ 30 分钟；
MTTR（平均响应时间）：建议 ≤ 4 小时；
应急流程完整度：建议 ≥ 90%。

阶段 5（T-15 ~ T-3）：最后冲刺期 —— 进入"封网状态"

关键动作

暂停所有非必要变更、上线、对外接入；
关键岗位 7×24 排班；
完成所有外部接口的最后审计；
准备战时通报模板、对外口径模板、内部决策模板。

阶段 6（T-3 ~ T-0）：临战期 —— 战时指挥部成立

关键动作

战时指挥部成立，统一作战；
安全设备、SOC 平台、值班团队 100% 待命；
与监管侧、行业 CERT、上下游建立通报通道。

二、12 项必做检查清单（可直接打印使用）

所有项必须打勾后才能进入演习日。

编号	检查项	责任人	状态
1	全量资产盘点已完成（含影子/测试/第三方）	☐	☐
2	互联网暴露面已收敛（端口、服务最小化）	☐	☐
3	已完成一次第三方红队压力测试	☐	☐
4	钓鱼演练已完成，员工通过率 ≥ 95%	☐	☐
5	高危漏洞 100% 整改并复测	☐	☐
6	WAF / EDR / 流量探针策略已加固	☐	☐
7	战时指挥架构已成立，决策人就位	☐	☐
8	SOC / SOAR / 值班体系已演练	☐	☐
9	应急响应剧本可执行（含通报模板）	☐	☐
10	法务、公关、对外口径已对齐	☐	☐
11	第三方接入、合作方安全已审计	☐	☐
12	与监管 / 行业 CERT 通报通道已建立	☐	☐

三、5 个最容易被忽略的"致命盲区"

下面 5 个盲区，是过去 12 个月里我们看到的"演习日被打穿的高频原因"，请重点关注：

GitHub / Gitee 上的源代码泄露：账号、密钥、内部域名经常被红队从代码里翻出来；
运维堡垒机的弱口令 + 多因子缺失：一旦被打穿，相当于直接交钥匙；
外包/供应链账户：很多企业自身做得很好，但外包的笔记本中招后，攻击者从外包侧顺着 VPN 回来；
被遗忘的测试 / 灰度环境："反正不重要"——红队最爱；
核心员工的微信 / 邮件钓鱼：APT 攻击的传统入口，也是最致命入口。

上述每一项，都是腾讯云 CADC 在攻防对抗中优先列入攻击路径的高价值目标。

四、为什么"自检 + 第三方红队"这一步省不掉

很多企业的领导会问：我们已经买了 SOC、买了 EDR、买了 NDR、还有内部安全团队，还需要第三方红队吗？

我们的回答是：需要，而且是整个 90 天里 ROI 最高的一步。

理由有三：

视角不同：内部团队"知道哪里强"，红队"知道你哪里弱"；
战术不同：红队带的是 APT 战法，链式利用 + 横向移动 + 长期潜伏，与传统漏扫完全不在一个维度；
结论不同：红队交付的是"完整攻击链路 + 可达成的业务影响"，而不是"扫到一个 CVE"。

腾讯云 CADC 在这里能做的差异化：

真人红队 + 自动化武器库：3 天内完成万级资产暴露面识别；
三阶段闭环交付：方案沟通 → 攻防对抗 → 对抗总结，配套《攻击成果报告》《攻防对抗总结报告》两份正式交付物；
合规与保密：标准化授权函 + 木马清理 SOP，演练结束后所有测试残留全部清除，避免反向引入风险。

五、临近 HVV 才下单，可能"排不上队"

行业经验：每年 HVV 临近的 30–45 天，是攻防服务厂商档期最紧张的时段。资深红队成员的人天会被全国客户瓜分，临时下单大概率出现：

排不上你期望的窗口期；
拿到的是经验稍弱的二线红队；
项目周期被压缩，效果打折。

腾讯云 CADC 官方建议：正式演练前 1 个月完成购买，并在购买后 1 个工作日内由专人对接、进入方案沟通阶段。

六、行动建议

你现在的处境	建议动作
HVV 还有 ≥ 60 天	立即立项资产盘点 + 第三方红队预算，建议引入 CADC 5 人 × 14 天行业级方案
HVV 还有 30–60 天	立刻启动 CADC 公司级方案（3 人 × 10 天），同步推动整改
HVV 还有 ≤ 30 天	走 CADC 公司级最低档（3 人 × 5 天）做一次"快速体检 + 高危收敛"
HVV 已结束	用 CADC 做"复盘式攻防"，把这次失分项全部转化为下年加固项