一文带你认识护网行动是什么？参加需要具备哪些条件？

网络安全领域，“HW 行动” （网络安全实战攻防演练）作为国家层面组织的网络安全攻防演练，是我国提升关键信息基础设施安全防护能力的核心举措，其体系化的运作模式和实战化的演练机制具有重要意义。

HW 行动的具体时间通常不对外公开，且不同年份、不同范围的行动时间存在差异（例如全国性与区域性行动时间可能不同）。若想参与，需要提前通过官方渠道（如中央网信办、公安部及相关协会的公告）关注招募信息、报名时间、行动周期等关键节点，避免因信息滞后错过参与机会。一般在每年的 7、8 月左右开始，持续 2-3 周时间，也有特殊情况，如2025 年有部分项目 5 月启动，周期根据各子项目情况不同，最长可持续半年。

一、“HW 行动” 的起源与发展

“HW 行动” 的诞生与我国关键信息基础设施安全形势密切相关。随着数字化进程加快，能源、金融、交通、通信等行业的网络系统成为网络攻击的重点目标。为应对这一挑战，我国于 2016 年左右启动了首次 “HW 行动”，此后每年定期举行，逐渐形成常态化、制度化的演练机制。

从发展历程来看，早期的 “HW 行动” 参与范围相对有限，演练内容也以基础的漏洞检测和防御为主。随着网络安全威胁的不断升级，演练的规模逐渐扩大，参与单位从最初的少数关键行业扩展到涵盖政府、央企、国企及各类重要民营企业；演练的技术难度也不断提高，模拟的攻击手段更加贴近真实的网络攻击场景，如高级持续性威胁（APT）攻击、供应链攻击等。

二、“HW 行动” 的核心机制

1. 组织架构

“HW 行动” 通常由国家网络安全主管部门牵头组织，成立专门的演练指挥部，负责统筹协调演练的各项工作。指挥部下设多个工作组，如裁判组、技术支持组、监督组等，分别承担不同的职责：

• 裁判组：负责制定演练规则，对红蓝双方的攻防行为进行评判和计分。
• 技术支持组：提供技术支持和保障，确保演练过程的顺利进行。
• 监督组：监督演练过程，确保红蓝双方遵守演练规则，防止出现违规行为。

2. 红蓝对抗模式

这是 “HW 行动” 的核心模式，具体流程如下：

• 红队（攻击方）：由专业的网络安全攻击团队组成，他们会模拟黑客的攻击手段，对目标单位的网络系统进行渗透测试、漏洞利用、数据窃取等攻击行为。红队的攻击目标通常是预先设定的，包括网络设备、服务器、应用系统等。
• 蓝队（防守方）：由目标单位的网络安全防护团队组成，他们负责对本单位的网络系统进行监测、预警、防御和应急响应。蓝队需要及时发现红队的攻击行为，并采取有效的措施进行拦截和反击，同时要对攻击事件进行溯源和分析。
• 对抗过程：在演练开始前，红蓝双方会收到演练规则和目标清单。演练过程中，红队会不断尝试攻击蓝队的网络系统，蓝队则会全力以赴进行防御。裁判组会根据红蓝双方的表现进行实时评判和计分，演练结束后会公布最终的结果。

3. 规则与约束

为确保演练的安全性和有效性，“HW 行动” 制定了严格的规则和约束：

• 双方需在演练规则框架内行动（如禁止攻击关键民生系统，如电力调度系统、金融交易系统等，以免影响正常的社会秩序和经济运行。禁止窃取和泄露敏感信息，如个人隐私、商业秘密、国家机密等。）由裁判组全程监督，确保演练 “可控且有效”。
• 红队的攻击行为必须在规定的时间和范围内进行，不得超出演练的目标和范围。
• 蓝队的防御措施必须合法合规，不得采取非法手段进行反击。
• 红队的攻击成果直接反映蓝队的防御短板，蓝队的防御效率则体现其应急响应能力，最终通过 “攻防对抗” 推动防守方提升实战化防护水平。

在网络安全攻防演练（如 “HW 行动”）中，红队（攻击方）与蓝队（防守方）的职责明确且对立，通过模拟真实网络对抗场景，分别承担 “攻击渗透” 与 “防御响应” 的核心任务，最终实现检验防护能力、暴露漏洞的目标。以下是双方的具体职责：

三、红队（攻击方）：模拟黑客发起 “实战攻击”

红队的核心职责是以 “黑客视角” 对目标系统发起有组织、有策略的攻击，尽可能突破防御体系，暴露防守方的安全漏洞。其具体工作包括：

1. 前期信息收集与情报分析

• 对目标单位的网络架构、资产信息（如服务器 IP、域名、应用系统）、人员信息（如员工姓名、职位、联系方式）进行公开或半公开渠道的搜集（如搜索引擎、社交媒体、企业官网等）。
• 分析目标可能存在的薄弱点，例如老旧系统、常用弱口令、未修复的已知漏洞（如 Log4j、Heartbleed 等）、不合理的权限配置等，制定攻击路径规划。

2. 模拟多样化攻击手段

• 技术型攻击：利用漏洞扫描工具发现系统漏洞（如 SQL 注入、XSS 跨站脚本、缓冲区溢出等），通过渗透测试工具（如 Metasploit）利用漏洞获取服务器权限；尝试破解网络设备（防火墙、路由器）或数据库的登录凭证；发起 DDoS 攻击测试目标的抗压力能力；甚至模拟供应链攻击（如篡改第三方组件、植入恶意代码）。
• 社会工程学攻击：通过钓鱼邮件（伪装成内部通知、合作方文件）、钓鱼网站（仿冒企业官网或办公系统）、电话诈骗（伪装成 IT 支持人员套取密码）等方式，诱导目标单位员工泄露敏感信息或执行恶意操作。
• 持续渗透与横向移动：一旦突破某个节点（如员工个人电脑），红队会尝试 “横向移动”，利用内网漏洞或弱口令渗透更多服务器、数据库，甚至获取核心业务系统的访问权限，最终达到 “控制目标资产” 或 “窃取模拟敏感数据” 的目的。

3. 规避检测与隐藏痕迹

• 在攻击过程中，红队会尽量规避防守方的安全设备（如入侵检测系统 IDS、入侵防御系统 IPS、防火墙）的监测，例如使用加密通信、混淆攻击代码、伪造正常流量等。
• 攻击后会尝试清理日志（如删除登录记录、操作痕迹），延长被发现的时间，模拟高级持续性威胁（APT）攻击的 “潜伏性”。

4. 攻击成果记录与报告

• 记录攻击过程中的关键步骤、利用的漏洞、获取的权限及 “战果”（如模拟窃取的 “敏感数据” 标识、控制的设备清单），演练结束后向裁判组提交攻击报告，说明防守方的防御弱点。

四、蓝队（防守方）：构建 “全流程防御体系”

红队是 “网络安全的‘挑战者’”，蓝队是 “网络防线的‘守护者’”，二者通过模拟实战，共同推动网络安全防护体系从 “被动防御” 向 “主动防御” 升级。蓝队的核心职责是以 “守护者视角” 保护本单位网络与资产安全，通过监测、预警、拦截、溯源等手段抵御红队攻击，最大限度降低 “被攻破” 的风险。其具体工作包括：

1. 前期防御体系搭建与加固

• 对本单位的网络资产进行梳理（如服务器、终端、应用系统、IoT 设备等），明确资产归属与责任人，形成 “资产清单”。
• 对系统漏洞进行周期性扫描与修复（如安装补丁、更新固件），对弱口令进行强制更换，配置防火墙规则、访问控制策略（如最小权限原则），部署安全设备（如 SIEM 安全信息与事件管理平台、EDR 终端检测与响应工具）。
• 制定应急预案，明确攻击发生后的响应流程、责任人及处置措施（如断网隔离、数据备份恢复、系统重装等）。

2. 实时监测与攻击发现

• 通过 SIEM、IDS/IPS 等工具实时监控网络流量、系统日志、用户操作行为，识别异常活动（如陌生 IP 登录、大量失败登录尝试、异常数据传输、敏感文件访问）。
• 对红队发起的钓鱼邮件、钓鱼网站进行拦截（如邮件网关过滤、域名黑名单），对员工进行安全意识提醒（如识别钓鱼链接）。
• 及时发现服务器或终端被植入的恶意代码（如木马、病毒），通过 EDR 工具进行隔离与查杀。

3. 应急响应与攻击拦截

• 一旦发现攻击行为，立即启动应急预案：对被攻击的系统进行断网隔离，防止攻击横向扩散；封堵攻击源 IP 或端口，撤销被泄露的账号权限；修复被利用的漏洞，加固防御薄弱点。
• 对红队的 DDoS 攻击进行流量清洗，保障核心业务系统的正常运行；对正在进行的数据窃取行为进行拦截，保护敏感信息不被泄露。

4. 攻击溯源与复盘分析

• 对攻击事件进行溯源，通过日志分析、流量取证、恶意代码逆向等技术，确定攻击路径、攻击工具、红队的 “作战手法”，甚至定位红队的模拟攻击源头。
• 演练结束后，汇总攻击事件的处置过程、暴露的漏洞（如未修复的补丁、设备配置缺陷、员工安全意识不足），形成复盘报告，提出整改措施（如优化防护策略、加强员工培训）。

五、大学生：通过 “校园 - 竞赛 - 认证” 三位一体路径切入

1. 加入高校网络安全实验室或战队

• 校内选拔机制：部分高校（如西安电子科技大学、清华大学）设立专门的网络安全实验室或战队（如 “西电网信先锋大队”），通过技术考核选拔学生参与 HW 行动612。例如，西安电子科技大学要求队员参与教育部 HW 行动、校级演练等，并提供学分抵扣、奖学金加分等激励6。
• 实战化训练：实验室通常配备攻防靶场、漏洞分析平台（如密码解算分析平台、5G 网络安全科研平台），学生可在导师指导下模拟红队攻击或蓝队防御。
• 因各高校教学资源不同，如果你对这方面非常感兴趣，建议向网络与信息安全相关专业的专业课老师咨询（如果你们专业是校企合作教学，也可以问企业老师，他们对竞赛及 HW 的实际情况会更熟悉）。老师们的讲解会比我更贴合你的个人实际情况，也会更详细。想做就大胆去问，不用害怕老师觉得你技术不足，其实老师们都希望你能进步、认真学习、做自己喜欢的事。

2. 参与国家级网络安全竞赛

• CTF 竞赛：通过 “强网杯”“全国大学生信息安全竞赛” 等赛事积累实战经验，优胜者可能被推荐加入 HW 红队或蓝队。例如，第三届中国研究生网络安全创新大赛允许本科生参与（需研究生带队），实网对抗赛冠军可获数万元奖金及 HW 项目推荐资格。
• 专项赛事：如 “华为 ADN 启航计划” 等校企合作项目，通过课题挑战选拔学生参与前沿技术研究，表现优异者可进入华为等企业的 HW 支撑团队。

3. 考取基础认证并积累经验

• CISP-PTE认证：考取注册信息安全专业人员-渗透测试方向（CISP-PTE）证书，该证书可作为HW项目的“敲门砖”，部分HW岗位会在公开招聘时要求应届生/求职者持证入岗。

• 实习与兼职：通过参与企业的 HW 值守项目（如国家基地 HW 预备役），以兼职的形式积累实战经验，同时获得实习证明。

• NISP 认证：考取国家信息安全水平考试（NISP）二级证书，该证书可作为进入 HW 项目的 入门“敲门砖”，且满足条件可兑换 CISP 证书，具体参考实际招聘情况。

六、求职者：以 “技能 - 认证 - 项目” 为核心竞争力

1. 明确岗位需求并针对性提升技能

• 红队方向：需掌握渗透测试（如 Metasploit、Nessus）、漏洞利用（如 Log4j、SQL 注入）、社会工程学等技能，可通过 “HW 行动” 相关招聘要求（如南京迈特望科技的监控预警岗要求熟悉 WAF、IPS 操作）针对性学习。
• 蓝队方向：需精通安全设备配置（如防火墙、SIEM 系统）、日志分析、应急响应流程，例如阿维塔招聘的安全合规运营专家要求具备数据跨境合规经验及 HW 迎检能力。

2. 获取行业认证增强竞争力

• CISP/CISSP：优先考取注册信息安全专业人员（CISP）或国际信息系统安全认证专家（CISSP），部分企业（如华为）将其作为 HW 岗位的硬性要求。
• 专项认证：如华为 HCIA-Datacom 认证可证明网络安全基础能力，提升求职成功率。

3. 通过企业或第三方机构参与

• 直接应聘：关注网络安全公司（如天融信、奇安信、深信服）、国企（如国家电网）的 HW 岗位招聘，例如猎聘上某企业要求 “参加过安全攻防演练者优先”。
• 加入 HW 预备役：通过国家基地或行业协会组织的 HW 预备役项目，经面试筛选后以兼职形式参与 HW 行动，同时获得职业发展资源。

七、研究生：依托 “科研 - 竞赛 - 校企合作” 深度参与

1. 参与国家级科研项目

• 实验室资源：利用高校科研平台（如西安电子科技大学的 5G 网络安全科研平台、云计算与云安全平台）开展与 HW 相关的研究，例如漏洞挖掘、攻击溯源算法等。
• 纵向课题：申请国家自然科学基金、工信部专项等项目，研究成果可直接转化为 HW 防御技术（如蜜罐系统、攻击行为分析模型）。

2. 以竞赛为跳板进入实战

• 研究生专项赛事：如 “中国研究生网络安全创新大赛” 的实网对抗赛，通过模拟真实攻防场景检验技术水平，获奖团队可获推荐参与 HW 行动。
• 校企联合课题：参与华为 “ADN 启航计划” 等项目，在企业导师指导下解决实际网络安全问题，表现优异者可获 HW 项目内推资格。

3. 构建产学研结合的职业路径

• 校企双导师制：通过导师推荐进入企业的 HW 支撑团队（如某能源企业的网络安全部门），参与 HW 行动的同时完成学位论文。
• 博士后工作站：部分高校与企业共建的工作站提供 HW 相关研究岗位，例如参与关键信息基础设施防护体系设计。

八、通用策略与注意事项

1. 关注官方渠道与行业动态

• 政府与协会：定期查看中央网信办、公安部官网发布的 HW 行动招募通知，以及中国网络空间安全协会的会员公告。
• 中国政府采购网（可搜索护网查看公开招标的护网行动要求）
• 中央网络安全和信息化委员会办公室
• 公安部官网
• 中国网络空间安全协会
• 企业招聘平台：在智联招聘、猎聘等平台设置 “HW 行动”“网络安全攻防” 等关键词提醒，及时获取岗位信息。

2. 遵守演练规则与保密要求

• 红队约束：禁止攻击关键业务系统（如电力调度、金融交易系统），避免泄露真实敏感数据。
• 蓝队责任：需在演练后提交完整的漏洞修复报告，并配合裁判组进行攻防复盘。

3. 长期能力建设建议

• 技术深耕：持续跟踪 APT 攻击手法、零日漏洞利用等前沿技术，通过 GitHub、FreeBuf 等平台学习开源工具（如 Cobalt Strike、Burp Suite）。

• https://github.com/（需VPN流畅加载）

• https://www.cobaltstrike.com/（IP受限，需绕过）

• Burp Suite - Application Security Testing Software - PortSwigger

• 团队协作：加入网络安全社区（如看雪学苑、先知社区），参与模拟攻防对抗，提升团队协作与应急响应能力。

• 先知社区

• 看雪学苑-看雪

• 资质认证：考取CISP、CISP-PTE、CISSP、HCIA-Datacom等证书积累行业职业认证证书，以满足参加更高层次HW行动的门槛。

• 认证系列指南

通过上述路径，不同身份的从业者均可找到适合的切入点。值得注意的是，HW 行动的参与往往需要长期积累与实战检验，建议从基础认证、实验室训练等环节逐步进阶，最终在国家网络安全防御体系中发挥专业价值。

九、“HW 行动” 的重要意义

1. 提升网络安全防护能力

通过模拟真实的网络攻击场景，“HW 行动” 能够让参与单位充分暴露自身网络安全防护体系中存在的漏洞和不足，从而有针对性地进行整改和优化。在演练过程中，蓝队需要不断提高自身的监测预警能力、应急响应能力和漏洞修复能力，以应对红队的各种攻击手段。

2. 培养网络安全人才

“HW 行动” 为网络安全人才提供了一个实战锻炼的平台，红蓝双方的队员在演练过程中能够积累丰富的实战经验，提高自身的技术水平和综合素质。同时，演练也能够促进网络安全人才的交流和合作，形成良好的人才培养氛围。

3. 推动网络安全技术发展

为了在演练中取得好成绩，红蓝双方都会不断探索和应用新的网络安全技术和方法。这在一定程度上推动了网络安全技术的创新和发展，促进了网络安全产业的升级。

4. 保障关键信息基础设施安全

关键信息基础设施是国家经济社会发展的重要支撑，其安全与否直接关系到国家的安全和稳定。“HW 行动” 通过对关键信息基础设施运营单位的网络安全防护能力进行检验和提升，能够有效保障关键信息基础设施的安全运行。

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

我一共划分了六个阶段，但并不是说你得学完全部才能上手工作，对于一些初级岗位，学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包，需要的小伙伴文末免费领取哦，无偿分享！！！

【一一帮助网络安全学习，以下所有资源文末免费领取一一】
①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

这部分内容对于咱们零基础的同学来说还太过遥远了，由于篇幅问题就不展开细说了，我给大家贴一个学习路线。感兴趣的童鞋可以自行研究一下哦，当然你也可以点击这里加我与我一起互相探讨、交流、咨询哦。

资料领取

上述这份完整版的网络安全学习资料已经上传网盘，朋友们如果需要可以微信扫描下方二维码 ↓↓↓ 或者 点击以下链接都可以领取

网络安全学习路线&学习资源

因篇幅有限，资料较为敏感仅展示部分资料，添加上方即可获取👆

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。