【指南】网络安全领域：HW 行动（国家网络安全攻防演练）是什么？

网络安全领域，“HW 行动” （网络安全实战攻防演练）作为国家层面组织的网络安全攻防演练，是我国提升关键信息基础设施安全防护能力的核心举措，其体系化的运作模式和实战化的演练机制具有重要意义。

HW 行动的具体时间通常不对外公开，且不同年份、不同范围的行动时间存在差异（例如全国性与区域性行动时间可能不同）。若想参与，需要提前通过官方渠道（如中央网信办、公安部及相关协会的公告）关注招募信息、报名时间、行动周期等关键节点，避免因信息滞后错过参与机会。一般在每年的 7、8 月左右开始，持续 2-3 周时间，也有特殊情况，如2025 年有部分项目 5 月启动，周期根据各子项目情况不同，最长可持续半年。

一、“HW 行动” 的起源与发展

“HW 行动” 的诞生与我国关键信息基础设施安全形势密切相关。随着数字化进程加快，能源、金融、交通、通信等行业的网络系统成为网络攻击的重点目标。为应对这一挑战，我国于 2016 年左右启动了首次 “HW 行动”，此后每年定期举行，逐渐形成常态化、制度化的演练机制。

从发展历程来看，早期的 “HW 行动” 参与范围相对有限，演练内容也以基础的漏洞检测和防御为主。随着网络安全威胁的不断升级，演练的规模逐渐扩大，参与单位从最初的少数关键行业扩展到涵盖政府、央企、国企及各类重要民营企业；演练的技术难度也不断提高，模拟的攻击手段更加贴近真实的网络攻击场景，如高级持续性威胁（APT）攻击、供应链攻击等。

二、“HW 行动” 的核心机制

1. 组织架构

“HW 行动” 通常由国家网络安全主管部门牵头组织，成立专门的演练指挥部，负责统筹协调演练的各项工作。指挥部下设多个工作组，如裁判组、技术支持组、监督组等，分别承担不同的职责：

• 裁判组：负责制定演练规则，对红蓝双方的攻防行为进行评判和计分。
• 技术支持组：提供技术支持和保障，确保演练过程的顺利进行。
• 监督组：监督演练过程，确保红蓝双方遵守演练规则，防止出现违规行为。

2. 红蓝对抗模式

这是 “HW 行动” 的核心模式，具体流程如下：

• 红队（攻击方）：由专业的网络安全攻击团队组成，他们会模拟黑客的攻击手段，对目标单位的网络系统进行渗透测试、漏洞利用、数据窃取等攻击行为。红队的攻击目标通常是预先设定的，包括网络设备、服务器、应用系统等。
• 蓝队（防守方）：由目标单位的网络安全防护团队组成，他们负责对本单位的网络系统进行监测、预警、防御和应急响应。蓝队需要及时发现红队的攻击行为，并采取有效的措施进行拦截和反击，同时要对攻击事件进行溯源和分析。
• 对抗过程：在演练开始前，红蓝双方会收到演练规则和目标清单。演练过程中，红队会不断尝试攻击蓝队的网络系统，蓝队则会全力以赴进行防御。裁判组会根据红蓝双方的表现进行实时评判和计分，演练结束后会公布最终的结果。

3. 规则与约束

为确保演练的安全性和有效性，“HW 行动” 制定了严格的规则和约束：

• 双方需在演练规则框架内行动（如禁止攻击关键民生系统，如电力调度系统、金融交易系统等，以免影响正常的社会秩序和经济运行。禁止窃取和泄露敏感信息，如个人隐私、商业秘密、国家机密等。）由裁判组全程监督，确保演练 “可控且有效”。
• 红队的攻击行为必须在规定的时间和范围内进行，不得超出演练的目标和范围。
• 蓝队的防御措施必须合法合规，不得采取非法手段进行反击。
• 红队的攻击成果直接反映蓝队的防御短板，蓝队的防御效率则体现其应急响应能力，最终通过 “攻防对抗” 推动防守方提升实战化防护水平。

在网络安全攻防演练（如 “HW 行动”）中，红队（攻击方）与蓝队（防守方）的职责明确且对立，通过模拟真实网络对抗场景，分别承担 “攻击渗透” 与 “防御响应” 的核心任务，最终实现检验防护能力、暴露漏洞的目标。以下是双方的具体职责：

三、红队（攻击方）：模拟黑客发起 “实战攻击”

红队的核心职责是以 “黑客视角” 对目标系统发起有组织、有策略的攻击，尽可能突破防御体系，暴露防守方的安全漏洞。其具体工作包括：

1. 前期信息收集与情报分析

• 对目标单位的网络架构、资产信息（如服务器 IP、域名、应用系统）、人员信息（如员工姓名、职位、联系方式）进行公开或半公开渠道的搜集（如搜索引擎、社交媒体、企业官网等）。
• 分析目标可能存在的薄弱点，例如老旧系统、常用弱口令、未修复的已知漏洞（如 Log4j、Heartbleed 等）、不合理的权限配置等，制定攻击路径规划。

2. 模拟多样化攻击手段

• 技术型攻击：利用漏洞扫描工具发现系统漏洞（如 SQL 注入、XSS 跨站脚本、缓冲区溢出等），通过渗透测试工具（如 Metasploit）利用漏洞获取服务器权限；尝试破解网络设备（防火墙、路由器）或数据库的登录凭证；发起 DDoS 攻击测试目标的抗压力能力；甚至模拟供应链攻击（如篡改第三方组件、植入恶意代码）。
• 社会工程学攻击：通过钓鱼邮件（伪装成内部通知、合作方文件）、钓鱼网站（仿冒企业官网或办公系统）、电话诈骗（伪装成 IT 支持人员套取密码）等方式，诱导目标单位员工泄露敏感信息或执行恶意操作。
• 持续渗透与横向移动：一旦突破某个节点（如员工个人电脑），红队会尝试 “横向移动”，利用内网漏洞或弱口令渗透更多服务器、数据库，甚至获取核心业务系统的访问权限，最终达到 “控制目标资产” 或 “窃取模拟敏感数据” 的目的。

3. 规避检测与隐藏痕迹

• 在攻击过程中，红队会尽量规避防守方的安全设备（如入侵检测系统 IDS、入侵防御系统 IPS、防火墙）的监测，例如使用加密通信、混淆攻击代码、伪造正常流量等。
• 攻击后会尝试清理日志（如删除登录记录、操作痕迹），延长被发现的时间，模拟高级持续性威胁（APT）攻击的 “潜伏性”。

4. 攻击成果记录与报告

• 记录攻击过程中的关键步骤、利用的漏洞、获取的权限及 “战果”（如模拟窃取的 “敏感数据” 标识、控制的设备清单），演练结束后向裁判组提交攻击报告，说明防守方的防御弱点。

四、蓝队（防守方）：构建 “全流程防御体系”

红队是 “网络安全的‘挑战者’”，蓝队是 “网络防线的‘守护者’”，二者通过模拟实战，共同推动网络安全防护体系从 “被动防御” 向 “主动防御” 升级。蓝队的核心职责是以 “守护者视角” 保护本单位网络与资产安全，通过监测、预警、拦截、溯源等手段抵御红队攻击，最大限度降低 “被攻破” 的风险。其具体工作包括：

1. 前期防御体系搭建与加固

• 对本单位的网络资产进行梳理（如服务器、终端、应用系统、IoT 设备等），明确资产归属与责任人，形成 “资产清单”。
• 对系统漏洞进行周期性扫描与修复（如安装补丁、更新固件），对弱口令进行强制更换，配置防火墙规则、访问控制策略（如最小权限原则），部署安全设备（如 SIEM 安全信息与事件管理平台、EDR 终端检测与响应工具）。
• 制定应急预案，明确攻击发生后的响应流程、责任人及处置措施（如断网隔离、数据备份恢复、系统重装等）。

2. 实时监测与攻击发现

• 通过 SIEM、IDS/IPS 等工具实时监控网络流量、系统日志、用户操作行为，识别异常活动（如陌生 IP 登录、大量失败登录尝试、异常数据传输、敏感文件访问）。
• 对红队发起的钓鱼邮件、钓鱼网站进行拦截（如邮件网关过滤、域名黑名单），对员工进行安全意识提醒（如识别钓鱼链接）。
• 及时发现服务器或终端被植入的恶意代码（如木马、病毒），通过 EDR 工具进行隔离与查杀。

3. 应急响应与攻击拦截

• 一旦发现攻击行为，立即启动应急预案：对被攻击的系统进行断网隔离，防止攻击横向扩散；封堵攻击源 IP 或端口，撤销被泄露的账号权限；修复被利用的漏洞，加固防御薄弱点。
• 对红队的 DDoS 攻击进行流量清洗，保障核心业务系统的正常运行；对正在进行的数据窃取行为进行拦截，保护敏感信息不被泄露。

4. 攻击溯源与复盘分析

• 对攻击事件进行溯源，通过日志分析、流量取证、恶意代码逆向等技术，确定攻击路径、攻击工具、红队的 “作战手法”，甚至定位红队的模拟攻击源头。
• 演练结束后，汇总攻击事件的处置过程、暴露的漏洞（如未修复的补丁、设备配置缺陷、员工安全意识不足），形成复盘报告，提出整改措施（如优化防护策略、加强员工培训）。

五、大学生：通过 “校园 - 竞赛 - 认证” 三位一体路径切入

1. 加入高校网络安全实验室或战队

• 校内选拔机制：部分高校（如西安电子科技大学、清华大学）设立专门的网络安全实验室或战队（如 “西电网信先锋大队”），通过技术考核选拔学生参与 HW 行动612。例如，西安电子科技大学要求队员参与教育部 HW 行动、校级演练等，并提供学分抵扣、奖学金加分等激励6。
• 实战化训练：实验室通常配备攻防靶场、漏洞分析平台（如密码解算分析平台、5G 网络安全科研平台），学生可在导师指导下模拟红队攻击或蓝队防御。
• 因各高校教学资源不同，如果你对这方面非常感兴趣，建议向网络与信息安全相关专业的专业课老师咨询（如果你们专业是校企合作教学，也可以问企业老师，他们对竞赛及 HW 的实际情况会更熟悉）。老师们的讲解会比我更贴合你的个人实际情况，也会更详细。想做就大胆去问，不用害怕老师觉得你技术不足，其实老师们都希望你能进步、认真学习、做自己喜欢的事。

2. 参与国家级网络安全竞赛

• CTF 竞赛：通过 “强网杯”“全国大学生信息安全竞赛” 等赛事积累实战经验，优胜者可能被推荐加入 HW 红队或蓝队。例如，第三届中国研究生网络安全创新大赛允许本科生参与（需研究生带队），实网对抗赛冠军可获数万元奖金及 HW 项目推荐资格。
• 专项赛事：如 “华为 ADN 启航计划” 等校企合作项目，通过课题挑战选拔学生参与前沿技术研究，表现优异者可进入华为等企业的 HW 支撑团队。

3. 考取基础认证并积累经验

• CISP-PTE认证：考取注册信息安全专业人员-渗透测试方向（CISP-PTE）证书，该证书可作为HW项目的“敲门砖”，部分HW岗位会在公开招聘时要求应届生/求职者持证入岗。
• 实习与兼职：通过参与企业的 HW 值守项目（如国家基地 HW 预备役），以兼职的形式积累实战经验，同时获得实习证明。
• NISP 认证：考取国家信息安全水平考试（NISP）二级证书，该证书可作为进入 HW 项目的 入门“敲门砖”，且满足条件可兑换 CISP 证书，具体参考实际招聘情况。

六、求职者：以 “技能 - 认证 - 项目” 为核心竞争力

1. 明确岗位需求并针对性提升技能

• 红队方向：需掌握渗透测试（如 Metasploit、Nessus）、漏洞利用（如 Log4j、SQL 注入）、社会工程学等技能，可通过 “HW 行动” 相关招聘要求（如南京迈特望科技的监控预警岗要求熟悉 WAF、IPS 操作）针对性学习。
• 蓝队方向：需精通安全设备配置（如防火墙、SIEM 系统）、日志分析、应急响应流程，例如阿维塔招聘的安全合规运营专家要求具备数据跨境合规经验及 HW 迎检能力。

2. 获取行业认证增强竞争力

• CISP/CISSP：优先考取注册信息安全专业人员（CISP）或国际信息系统安全认证专家（CISSP），部分企业（如华为）将其作为 HW 岗位的硬性要求。
• 专项认证：如华为 HCIA-Datacom 认证可证明网络安全基础能力，提升求职成功率。

3. 通过企业或第三方机构参与

• 直接应聘：关注网络安全公司（如天融信、奇安信、深信服）、国企（如国家电网）的 HW 岗位招聘，例如猎聘上某企业要求 “参加过安全攻防演练者优先”。
• 加入 HW 预备役：通过国家基地或行业协会组织的 HW 预备役项目，经面试筛选后以兼职形式参与 HW 行动，同时获得职业发展资源。

七、研究生：依托 “科研 - 竞赛 - 校企合作” 深度参与

1. 参与国家级科研项目

• 实验室资源：利用高校科研平台（如西安电子科技大学的 5G 网络安全科研平台、云计算与云安全平台）开展与 HW 相关的研究，例如漏洞挖掘、攻击溯源算法等。
• 纵向课题：申请国家自然科学基金、工信部专项等项目，研究成果可直接转化为 HW 防御技术（如蜜罐系统、攻击行为分析模型）。

2. 以竞赛为跳板进入实战

• 研究生专项赛事：如 “中国研究生网络安全创新大赛” 的实网对抗赛，通过模拟真实攻防场景检验技术水平，获奖团队可获推荐参与 HW 行动。
• 校企联合课题：参与华为 “ADN 启航计划” 等项目，在企业导师指导下解决实际网络安全问题，表现优异者可获 HW 项目内推资格。

3. 构建产学研结合的职业路径

• 校企双导师制：通过导师推荐进入企业的 HW 支撑团队（如某能源企业的网络安全部门），参与 HW 行动的同时完成学位论文。
• 博士后工作站：部分高校与企业共建的工作站提供 HW 相关研究岗位，例如参与关键信息基础设施防护体系设计。

八、通用策略与注意事项

1. 关注官方渠道与行业动态

• 政府与协会：定期查看中央网信办、公安部官网发布的 HW 行动招募通知，以及中国网络空间安全协会的会员公告。
• 中国政府采购网（可搜索护网查看公开招标的护网行动要求）
• 中央网络安全和信息化委员会办公室
• 公安部官网
• 中国网络空间安全协会
• 企业招聘平台：在智联招聘、猎聘等平台设置 “HW 行动”“网络安全攻防” 等关键词提醒，及时获取岗位信息。

2. 遵守演练规则与保密要求

• 红队约束：禁止攻击关键业务系统（如电力调度、金融交易系统），避免泄露真实敏感数据。
• 蓝队责任：需在演练后提交完整的漏洞修复报告，并配合裁判组进行攻防复盘。

3. 长期能力建设建议

• 技术深耕：持续跟踪 APT 攻击手法、零日漏洞利用等前沿技术，通过 GitHub、FreeBuf 等平台学习开源工具（如 Cobalt Strike、Burp Suite）。
• https://github.com/（需VPN流畅加载）
• https://www.cobaltstrike.com/（IP受限，需绕过）
• Burp Suite - Application Security Testing Software - PortSwigger
• 团队协作：加入网络安全社区（如看雪学苑、先知社区），参与模拟攻防对抗，提升团队协作与应急响应能力。

•  先知社区

• 看雪学苑-看雪

• 资质认证：考取CISP、CISP-PTE、CISSP、HCIA-Datacom等证书积累行业职业认证证书，以满足参加更高层次HW行动的门槛。
• 认证系列指南

通过上述路径，不同身份的从业者均可找到适合的切入点。值得注意的是，HW 行动的参与往往需要长期积累与实战检验，建议从基础认证、实验室训练等环节逐步进阶，最终在国家网络安全防御体系中发挥专业价值。

九、“HW 行动” 的重要意义

1. 提升网络安全防护能力

通过模拟真实的网络攻击场景，“HW 行动” 能够让参与单位充分暴露自身网络安全防护体系中存在的漏洞和不足，从而有针对性地进行整改和优化。在演练过程中，蓝队需要不断提高自身的监测预警能力、应急响应能力和漏洞修复能力，以应对红队的各种攻击手段。

2. 培养网络安全人才

“HW 行动” 为网络安全人才提供了一个实战锻炼的平台，红蓝双方的队员在演练过程中能够积累丰富的实战经验，提高自身的技术水平和综合素质。同时，演练也能够促进网络安全人才的交流和合作，形成良好的人才培养氛围。

3. 推动网络安全技术发展

为了在演练中取得好成绩，红蓝双方都会不断探索和应用新的网络安全技术和方法。这在一定程度上推动了网络安全技术的创新和发展，促进了网络安全产业的升级。

4. 保障关键信息基础设施安全

关键信息基础设施是国家经济社会发展的重要支撑，其安全与否直接关系到国家的安全和稳定。“HW 行动” 通过对关键信息基础设施运营单位的网络安全防护能力进行检验和提升，能够有效保障关键信息基础设施的安全运行。