演习评分规则（防守方）

1、防守方加分包括：基础得分和附加分。基础得分上限是攻击方成果得分的80%,附加分上限为4500分。2、基础得分是根据防守方提交的成果报告逐一打分后累加的总得分，每个报告对应一起攻击事件的处置，分别从监测发现、分析研判、应急处置、通报预警、协同联动、追踪溯源六方面打分。3、对于24小时后(从裁判打分后开始计时),防守方仍未发现的演习攻击，原则上指挥部将攻击成果关键信息脱敏后，作为线索推送给防守方，鼓节点得分的40%为基础值进行打分。4、基础得分中，防守方提交的报告数量上限为50个(包括提示线索告要有逻辑性，提供确凿证据的文字描述和日志、设备界面截图等。5、防守方提交的每一份报告围绕一起攻击事件编写，只有属于演习范畴的安全事件(属于已认定的攻击方战果)方可得分，同一起事件不允许出现在多份报告中。评分点具体评分点说明124小时之内提交15%;其他时间提交5%。2括但不限于：安全设备、态势感知1、使用单一手段发现的给2%;3监测发现攻击类型与攻击方采用的攻击手段进行对1、涉“重点人”敏感信息收集3、应用层漏洞利用4、系统层漏洞利用5、钓鱼邮件攻击7、弱口令攻击10、无线网络攻击11、物理近源接触攻击12、权限提升13、授权、认证机制绕过14、搭建隐蔽通道15、内网敏感信息搜集利用16、供应链打击17、内存口令提取4基础得分-分析研判联单位(4%)确定该起事件涉及的资产范围、资产所属单位、运营单位等。根据锁定范围的准确性给分，例如落到基层单位给4%,落到区域或部门的给2%。5锁定主要责任人及相关责任人(2%)责任人、其他具体负责人员等人员及其相关责任。的岗位、姓名、职责；所有被控设备、系统等都能够确认责任人。6研判攻击的影响和危害(4%)确定攻击事件对业务连续性、稳定据分析的合理程度评分7分析过程(5%)详细说明分析研判过程，包括：在分析研判过程中采用的工具或手工具、情报提取工具及工具发挥的具体作用。使用了专业型工具(如日志提取、关联分析等)1-2个的给5%,未使用专业型工具仅采用人工方式的给2%。8备性(2%)管理办法和应急处置预案确定事件的清晰度、准确度、完整性评分。9攻击阻断(4%)阻断互联网侧攻击源(如IP、物理接口、服务)(2%);阻断内网攻击入口或攻击跳板攻击根除(4%)根据采取的措施给分，包括定位漏威胁风险、禁用异常账号、清除后门等。1天内完成处置(5%),2天内(3%),五天内(1%)。准确性(3%)是否能将涉及该事件的时间、影响范围、危害以及对策措施等情况，文件。合理性(5%)能否将通报预警信息及时、合理的通报给相关部门及人员，例如全员明全员预警或定向预警的事件及详情。有效性(5%)后已在开展隐患消除工作，向下传达到位并有反馈。规范性(2%)程是否规范。基础得分-协同联动间的联动(2%)针对该起事件单位内部安全部门、处置事件过程中的联动机制、责任分工及产生的实际效果给分。与下属单位的联动工，以及产生的实际效果给分。与供应链企业或业动(2%)果给分。队设备信息(4%)供完整溯源分析报告，与攻击队核实，如无法与本次演习攻击队伍的攻击资源关联，不得分。行路径溯源(8%)入口给3%、部分内网跳板给3%,画像维度包括：1、攻击源维度：攻击源IP位置及资产属性、IP历史攻击信息、IP2、威胁样本维度：能够对恶意样本进行逆向分析，通过功能分析、回联机制、家族关联等进行画像。根据攻击主机或控制主机的可信度、路径长度、路径还原完整度和复杂度酌情给分。附加分项零日漏洞的发现和处置(上限1500(提交漏洞特征、原理、利用方法等说明文档，以及POC程序),处置和采取应对措施及时有效，发行为、成果有关联。提交阶段性总结在演习期间可提交3篇报告，报告不限定演习攻击事件，可围绕以下三个主题：(1)布防报告，入选优秀报告得300分。(2)事件处置报告。针对演习过选优秀报告得300分。(3)攻击事件处置心得体会和总每个单位每天最多一篇。入选每日优秀技战法100分/篇。一个单位重复提交雷同的，不得分。减分规则说明1发现防守方对任意系统非正常防守，包括用、网站首页被改为图片，被发现并提交确切证据分，5个小时仍未整改的，每30分钟指挥部研发专门的系统，由攻击队予2个小时处置时间，2小时后开1名控制权限一级域名100分二级域名50分影响特别重大成果的由指挥部研判2被获取PC终端、移动终端权限(手机、限3被获取邮箱权限邮箱账号口令：20分500分-1000分功的只扣一次分；获取自建、在用的邮件系统管理员权限，可以查1000分；特别重大情况由指挥部研判后评分。4被获取办公自动化系统权限200分-500分获取全局性自建、在用的0A、即时通讯、项目管理、财务等系统管理员权限5被获取身份、账户管理平台权限(SSO,系统管理权限300分，能登入的系统100分1个。6被获取域控系统权限管理员权限200分，域内可控服务7管理员权限200分，托管的服务器10分/台。8管理员权限200分，云上主机10分9限按数据量和重要程度评分，特别重大情况由指挥部研判后评分号密码(含SQL注管理员权限100分。同一系统的同等权限(包括管理员)只扣一次分被获取网络设备权限依据最终成果倒溯减分，如和核心目标同网段，300分。以路由器为例，小型50分，中型150分，大型300分。包括防火墙、路由器、交换机、网闸、光闸、摆渡机、VPN等，特别重大情况由指挥部研判后评分被获取工业互联网系统权限断、智能交通等，根据系统重要程度由指挥部研判后评分被获取物联网设备管控平台带控制功能的物联网平台200分，按照平台上连接点数计算5分/台。被获取安全设备权限分，管理员权限200分设备控制权限(含分布式部署系统的管理后台),特别重大情况由指被获取一般Web应用系统、FTP等应用权限限100分。同一系统的同等权限(包括管理员)只得一次分。如果服务器主机限(含webshell权分，管理员权限100分。与其他扣分项不叠加扣分。特别重大情况由指挥部研判后评分系统、生产系统、数由指挥部参照演习目标系统评分务器、设备等权限由指挥部核定评分1被攻击者进入逻辑隔离业务内网2隔离业务内网/3产网(如铁路调度专网、银行核心账务网、电力生产控制大区、运营商信令网、能源生产物联网等)4//1互联网区如果互联网区目标系统外的其他重行业或某一地区重大业务开展，视同目标系统失分，最高减4000分。2业务