第一阶段一般由总负责的安全厂商牵头完成:方案制定、用户沟通、设备调研梳理、整体的安全设备防护情况，资产清单收集等工作，便于后续的安全保障工作的划分，这一块工作基本上不需要外聘人员的参与。

　　第二阶段风险自查及修复阶段，这个时候一般一些外聘的安服人员，蓝队人员开始进场，主要工作包括:互联网资产扫描、漏洞扫描、渗透测试、安全基线/配置核查、安全设备策略检查、日志审计情况检查、防护设备完善、之前的一些安全事件的复核、安全整改加固这类具体的工作。

　　第三阶段为攻防预演习阶段，这个阶段就是甲方这边组织的一个小型的攻防演练活动，调研也调研了，检测也检测了，加固也加固了，该修复的也修复了，内部会做一个预测试，由内部人员或者合作厂商这边充当红队人员对现有网络发起攻击，看看目前的工作是不是到位，如果没有做好的地方，会进行二次修复。

　　将用户与安全设备厂商、业务系统开发商、运维厂商等人员进行分组、分工，明确职责，开展相关工作；

　　看到这里，大家基本能对流程有一个大体的了解，所以说安全厂商一般是全程参与的，由于整个过程时间比较紧，任务量比较大，造成了人手匮乏的局面，所以有一部分外聘的兄弟就会被安排在第2-4阶段。大家可以通过这个过程的具体事情去掌握自己所需要的一些核心技能点。

　　第二阶段 基本就是Web安全方面的点点滴滴，这就考验平时大家的动手能力和项目经验了，搞SRC搞的多的同学基本一看就明白了。

　　第四阶段 基本是各种跟甲方合作的安全厂商的一些设备的监测，日志分析和IP封堵等，大家可以针对性的熟悉一下安全设备的监测，因为日志分析和IP封堵基本没太有技术含量的，懂Web安全和渗透测试基本一看就会了，当然部分厂商会对自己的合作伙伴进行短期的产品培训的

　　关于面试方面，基本上考核的就是一些技能点，最重要的是心理素质，项目经验和技能点。当然也有一些中间商让大家把简历做的漂亮一些，把各种CNVD，SRC挖洞经验都写进去，可以说意义不大。面试官基本几句话就能问出你的级别了。所以说对于刚入行不久的兄弟，大家还是要抱着一种学习的心态，因为这种面试不太考验你的格局和学习能力，因为项目时间太短了，所以大家可以对部分技能点进行深入的学习，最重要的是提升自己的项目经验，做的多了感觉就有了，多经历几个项目，感觉就有了。

　　最后说一下，护网是一个对安全产业非常有助推作用的一件事，包括对于安全从业人员，大家做了这么多年的安全服务，应该是深有体会的，所以说对于部分人员说的过于，我是不认可的。我觉得后面对于行业人员协同以及厂商协同来做一些事，不管对于客户还是行业都是特别有帮助的，取之互联网，用之互联网，包容，学习，希望大家一如既往的做多安全行业！

　　网传的HW指的就是护网，从2020年起，就被广大师傅们传成HVV。护网是当前国家、重要机关单位和企业组织用来检验网络安全防御能力的重要手段之一，是当下检验对关键信息系统基础设施网络安全保护工作的重要组成部分。

　　预演阶段也叫准备阶段，对于甲方来说，这个准备时间可能是1~3个月不等，甚至更长，每家企业的准备时间都不一样。对于兼职外援来说，这个时间通常为期10天较多，具体看甲方需求。

　　Tips - 资产梳理的工作主要分为业务系统资产、设备资产、外包或第三方服务资产，通常这项工作都是由甲方运维人员主要负责，而兼职外援通常需要协助甲方运维人员一起进行梳理。

　　Tips - 实际上，预演阶段的工作内容都说不准，毕竟部分企业预演阶段的时候就已经开始模拟红蓝对抗了，所以会在蓝队当中挑选人员组织成红队进行模拟演练，这种情况下，就会模拟正式阶段按分组进行工作，就无需进行资产梳理、基线扫描、系统加固、渗透测试等工作。

　　除了上面的5个分组，还有一个领队，专门负责安排每个组的工作并统筹每个组的工作内容，当然具体负责的事项肯定不止这些，还有各种与甲方企业项目负责人、领导之间的沟通汇报，预演阶段的各项工作安排，复盘阶段的工作汇总、文档撰写等等，我有幸担任过一次领队，那工作量真的挺大的，经常睡梦正浓的时候被电话惊醒 ，基本上一有问题第一时间就会找上你，吐槽一万字省略

　　通常蓝队指挥中心由甲方企业管理层组织并任命专人负责领导，主要负责组织和统筹整个演习活动中蓝队防守方的人员培训教育、统一调度工作、建立沟通机制，以及对演习活动中各类突发事件进行决策。

　　4. 发现webshell、木马、账号异常（较少，难度较大，攻击方进入内网后会隐匿好自己，避免触发告警，这需要监控人员对全流量日志分析的足够仔细）

　　关于应急响应，很多人以为一上来就是各种查系统日志、查WEB日志、分析流量信息。然而，这种做法是错误的。通常应急响应的都是安全监控平台上出现的高危告警事件，借助平台上的流量监控功能，可以有效确定攻击事件的时间和攻击事件的类型，再不者也可以缩小攻击时间范围。当我们确定了攻击事件的时间/时间段以及攻击事件的类型，那么再开始进行系统分析，这样才能最高效的进行应急响应工作。

　　应急响应包括应急处置和应急溯源，所以在HW中，当研判组研判此告警事件为成功攻击告警事件时，处置组和溯源组是要同时应急响应起来的。这里要对应急处置特别说明一下，应急处置分临时处置和完全处置。举个例子，假如告警事件为Webshell上传成功，那么完全处置当然是将Webshell进行删除并将漏洞入口封堵起来（即漏洞修复），但是完全处置花费的时间较长，所以就需要做临时处置的处理。

　　在HW阶段，工作时间通常为7*8（三班倒）或者7*12（两班倒），周末不停歇，持续进行15天。当然如果是两班倒，真的够呛。

　　首先想说一下hvv这件事对于行业本身、对于国家的网络空域防护是很好且很重要的事情，但是对于防守企业，可能会出现加班情况或者在实操过程中会觉得只有封堵IP的这种无技术含量工作，导致了部分甲方人员进入了疲于应付的状态。hvv这一活动的加入，肯定会出现阵痛的短暂效应，不过长期来看，是很必须的。

　　很多甲方在hvv过程中怕出现问题，怕担责任，其实整个事件就是为了发现更多的问题，如果没有发现安全问题，没有提升甲方整个安全合作生态方的协同作战能力，如果没有提升自身的应急能力和更好的应急优化流程，那将是非常可惜的。对于企业来说就是一次练兵。

　　大家都知道，如果是在真实的攻击行动中，就算是一个web网站，为了一步步贴近目标，一般也要半月，甚至APT要潜伏5到10年才能拿到自己想要的数据。所以如果攻击方的时间仅有两周或者三周，且目标比较多的情况下，只能自动化、工具化。对于防守和预检测而言要有体系，有节奏。

　　HVV中，很多厂商希望自己的产品能力可以得到展示，还是想通过hvv的时候想办法提供部分产品切入甲方的，平时采购需求较少。

　　目前出现的HVV服务分包商解决的到底是哪些问题，分包商利用的是信息不对称或者是认知不对称的问题，也就是说，厂商没有那么大的精力去维系蓝队人员，也没有那么多信息流去搞定蓝队人员，所以就出现了分包商来弄这其中的事情。分包商弄这个事情是为了盈利，也有的是为了打造自己的IP，为进一步搞定其他方面的事情做铺垫，比如说HVV他们可以少赚一点，可能在接下来的培训等事情上增加收益。hvv盈利点无非在于

　　如果是纯外包公司，甲方给的项目费用至少是人员成本的1.5-2倍才有利润的操作空间，不懂的可以看一下下面这个

　　如果是短期外包，就像hvv这种，因为从厂商那边谈的价格基本都是按人天的价格计算，分包商只能赚中间的差价。假如说厂商给到的人员价格一天是1800，给厂商供给30个人或者50个人的大体利润率如下。这里面没有包含生源成本，还有时间、培训成本等，所以说这个钱还是不太好赚的。