HW版孤勇者

来源于网络，侵权请联系删除。

HW行动是由公安部牵头，在全国范围内以真实网络环境为目标进行的网络安全攻防实战演练活动。旨在检验我国重要事业单位、ZF机关以及具有重大影响的企业的网络安全防护水平和突发事件处置能力。

HW行动每年举行一次，每次历时2~4周，参与者以红蓝队划分，红方为攻击方，蓝方为防守方。一般HW演练在白天工作日进行，不过攻击方会不分昼夜和休息日进行。

HW一般按照行政级别分为国家级HW，省级HW、市级HHW。除此之外，还有一些行业对于网络安全的要求比较高，会在行业内部自行组织开展网络安防演习，比如金融行业，电力行业等。

HW的由来

近些年，随着大数据、物联网、云计算等网络信息化的快速发展，网络攻击手段也越发多样繁杂，国家各个关键新基础设施时刻遭受来自未知位置的网络攻击威胁。网络安全问题层出不穷，严峻的网络安全态势，迫切的需要快速提高网络安全领域的安全防护能力，能够随时随地对抗未知和已知的威胁。而“HVV行动”就由此应运而生。

“HVV行动”是国家应对网络安全问题所做的重要布局之一。加强网络安全意识，是所有单位有序地完成“HVV行动”必不可少的一项基础和必须做扎实的工作。

2016年4月，习近平总书记在网络安全和信息化工作座谈会上发表重要讲话，习近平总书记指出，“网络安全的本质是对抗，对抗的本质是攻防两端能力的较量”。同年，公安部会同民航局、国家电网组织开展了 “HVV2016”网络安全攻防演习活动。同时《网络安全法》颁布，出台网络安全演练相关规定：关键信息基础设施的运营者应“制定网络安全事件应急预案，并定期进行演练”，自此“HVV行动”成为惯例。 

HW的历程

2016年试点阶段，基本上是业务系统具备应急响应预案，定期做演练即可，对攻击者没有过多要求。这个阶段的攻击手段，主要是较为传统的攻击方式，如互联网突破、传统的攻击行为、物理设备攻击等。

2017年拓展阶段，ZF部门也被要求参与进来，且大部分ZF部门都有对外服务的网站，所以这些网站也就成为了本阶段的攻击目标。这个阶段的攻击手段，包括对集权类设备进行攻击，使用0day、1day漏洞。

2018年认可阶段，此次新增企业事业单位，并且采用自由攻击的形式，这个阶段的攻击手段，开始出现供应链攻击、邮箱系统攻击、免杀、加密隐秘通道攻击。少数部分行业防守方能力大幅提升，致使攻击难度加大。

2019年推广阶段，参与单位也大幅度增加，涉及到政务、能源、金融、电信、广电、交通、民航、公共事业。攻击方一般使用定制化定向攻击，如钓鱼、水坑攻击，呈现行业化特征。

2020年常态阶段，很多传统行业在此期间完成由线下到线上转型，主要是承载的基础设施的变化，大部分系统已经上公有云，物联网平台等。所有此次参与HVV的单位，会更加注重云安全，也涌现了大量云安全相关产品。

HW的基本规则

红队

红队为攻击队，红队主要由国家的网安部门内专门从事网络安全的技术人员、厂商的渗透技术人员组成攻击小队。每支攻击队会有分配好的目标。除此之外，还会选取部分目标放在目标池中作为公共目标。

总的来说红队都会优先攻击这些公共目标，一旦攻击成功拿到证据后，会在国家提供的平台上进行提交，认证成功即可得分。

一般来说，提交平台的提交时间是在9:00~21:00，但是这并不意味着过了这个时间就不进行攻击了，实际上红队依然会利用21:00~9:00这段时间进行攻击，然后将攻击成果放在白天进行提交，所以蓝队需要24h进行监守防护。

蓝队

蓝队为防守队，一般是随机抽取单位参与。蓝队初始积分为10000分，一旦被攻击成功就会扣分。每年对于蓝队的要求都在更加严格，此前只要能发现攻击就能加分，或者把扣的分补回来。

不过目前蓝队必须满足及时发现、及时处置以及还原攻击链才能少扣分，不能再加分。唯一的加分方式就是在HVV期间发现真实的红队攻击。

HW的影响

“HVV⾏动”是国家应对⽹络安全问题所做的重要布局之⼀。多年HVV行动的推进，有效发现了各个企业单位内部潜在安全威胁、强化了企业单位的安全意识、提升了团队整体安全能力，大大提高了全国各企业信息安全的建设速度。