演習(xí)評(píng)分規(guī)則（防守方）

1、防守方加分包括：基礎(chǔ)得分和附加分?；A(chǔ)得分上限是攻擊方成果得分的80%,附加分上限為4500分。2、基礎(chǔ)得分是根據(jù)防守方提交的成果報(bào)告逐一打分后累加的總得分，每個(gè)報(bào)告對(duì)應(yīng)一起攻擊事件的處置，分別從監(jiān)測(cè)發(fā)現(xiàn)、分析研判、應(yīng)急處置、通報(bào)預(yù)警、協(xié)同聯(lián)動(dòng)、追蹤溯源六方面打分。3、對(duì)于24小時(shí)后(從裁判打分后開始計(jì)時(shí)),防守方仍未發(fā)現(xiàn)的演習(xí)攻擊，原則上指揮部將攻擊成果關(guān)鍵信息脫敏后，作為線索推送給防守方，鼓節(jié)點(diǎn)得分的40%為基礎(chǔ)值進(jìn)行打分。4、基礎(chǔ)得分中，防守方提交的報(bào)告數(shù)量上限為50個(gè)(包括提示線索告要有邏輯性，提供確鑿證據(jù)的文字描述和日志、設(shè)備界面截圖等。5、防守方提交的每一份報(bào)告圍繞一起攻擊事件編寫，只有屬于演習(xí)范疇的安全事件(屬于已認(rèn)定的攻擊方戰(zhàn)果)方可得分，同一起事件不允許出現(xiàn)在多份報(bào)告中。評(píng)分點(diǎn)具體評(píng)分點(diǎn)說明124小時(shí)之內(nèi)提交15%;其他時(shí)間提交5%。2括但不限于：安全設(shè)備、態(tài)勢(shì)感知1、使用單一手段發(fā)現(xiàn)的給2%;3監(jiān)測(cè)發(fā)現(xiàn)攻擊類型與攻擊方采用的攻擊手段進(jìn)行對(duì)1、涉“重點(diǎn)人”敏感信息收集3、應(yīng)用層漏洞利用4、系統(tǒng)層漏洞利用5、釣魚郵件攻擊7、弱口令攻擊10、無線網(wǎng)絡(luò)攻擊11、物理近源接觸攻擊12、權(quán)限提升13、授權(quán)、認(rèn)證機(jī)制繞過14、搭建隱蔽通道15、內(nèi)網(wǎng)敏感信息搜集利用16、供應(yīng)鏈打擊17、內(nèi)存口令提取4基礎(chǔ)得分-分析研判聯(lián)單位(4%)確定該起事件涉及的資產(chǎn)范圍、資產(chǎn)所屬單位、運(yùn)營(yíng)單位等。根據(jù)鎖定范圍的準(zhǔn)確性給分，例如落到基層單位給4%,落到區(qū)域或部門的給2%。5鎖定主要責(zé)任人及相關(guān)責(zé)任人(2%)責(zé)任人、其他具體負(fù)責(zé)人員等人員及其相關(guān)責(zé)任。的崗位、姓名、職責(zé)；所有被控設(shè)備、系統(tǒng)等都能夠確認(rèn)責(zé)任人。6研判攻擊的影響和危害(4%)確定攻擊事件對(duì)業(yè)務(wù)連續(xù)性、穩(wěn)定據(jù)分析的合理程度評(píng)分7分析過程(5%)詳細(xì)說明分析研判過程，包括：在分析研判過程中采用的工具或手工具、情報(bào)提取工具及工具發(fā)揮的具體作用。使用了專業(yè)型工具(如日志提取、關(guān)聯(lián)分析等)1-2個(gè)的給5%,未使用專業(yè)型工具僅采用人工方式的給2%。8備性(2%)管理辦法和應(yīng)急處置預(yù)案確定事件的清晰度、準(zhǔn)確度、完整性評(píng)分。9攻擊阻斷(4%)阻斷互聯(lián)網(wǎng)側(cè)攻擊源(如IP、物理接口、服務(wù))(2%);阻斷內(nèi)網(wǎng)攻擊入口或攻擊跳板攻擊根除(4%)根據(jù)采取的措施給分，包括定位漏威脅風(fēng)險(xiǎn)、禁用異常賬號(hào)、清除后門等。1天內(nèi)完成處置(5%),2天內(nèi)(3%),五天內(nèi)(1%)。準(zhǔn)確性(3%)是否能將涉及該事件的時(shí)間、影響范圍、危害以及對(duì)策措施等情況，文件。合理性(5%)能否將通報(bào)預(yù)警信息及時(shí)、合理的通報(bào)給相關(guān)部門及人員，例如全員明全員預(yù)警或定向預(yù)警的事件及詳情。有效性(5%)后已在開展隱患消除工作，向下傳達(dá)到位并有反饋。規(guī)范性(2%)程是否規(guī)范。基礎(chǔ)得分-協(xié)同聯(lián)動(dòng)間的聯(lián)動(dòng)(2%)針對(duì)該起事件單位內(nèi)部安全部門、處置事件過程中的聯(lián)動(dòng)機(jī)制、責(zé)任分工及產(chǎn)生的實(shí)際效果給分。與下屬單位的聯(lián)動(dòng)工，以及產(chǎn)生的實(shí)際效果給分。與供應(yīng)鏈企業(yè)或業(yè)動(dòng)(2%)果給分。隊(duì)設(shè)備信息(4%)供完整溯源分析報(bào)告，與攻擊隊(duì)核實(shí)，如無法與本次演習(xí)攻擊隊(duì)伍的攻擊資源關(guān)聯(lián)，不得分。行路徑溯源(8%)入口給3%、部分內(nèi)網(wǎng)跳板給3%,畫像維度包括：1、攻擊源維度：攻擊源IP位置及資產(chǎn)屬性、IP歷史攻擊信息、IP2、威脅樣本維度：能夠?qū)阂鈽颖具M(jìn)行逆向分析，通過功能分析、回聯(lián)機(jī)制、家族關(guān)聯(lián)等進(jìn)行畫像。根據(jù)攻擊主機(jī)或控制主機(jī)的可信度、路徑長(zhǎng)度、路徑還原完整度和復(fù)雜度酌情給分。附加分項(xiàng)零日漏洞的發(fā)現(xiàn)和處置(上限1500(提交漏洞特征、原理、利用方法等說明文檔，以及POC程序),處置和采取應(yīng)對(duì)措施及時(shí)有效，發(fā)行為、成果有關(guān)聯(lián)。提交階段性總結(jié)在演習(xí)期間可提交3篇報(bào)告，報(bào)告不限定演習(xí)攻擊事件，可圍繞以下三個(gè)主題：(1)布防報(bào)告，入選優(yōu)秀報(bào)告得300分。(2)事件處置報(bào)告。針對(duì)演習(xí)過選優(yōu)秀報(bào)告得300分。(3)攻擊事件處置心得體會(huì)和總每個(gè)單位每天最多一篇。入選每日優(yōu)秀技戰(zhàn)法100分/篇。一個(gè)單位重復(fù)提交雷同的，不得分。減分規(guī)則說明1發(fā)現(xiàn)防守方對(duì)任意系統(tǒng)非正常防守，包括用、網(wǎng)站首頁被改為圖片，被發(fā)現(xiàn)并提交確切證據(jù)分，5個(gè)小時(shí)仍未整改的，每30分鐘指揮部研發(fā)專門的系統(tǒng)，由攻擊隊(duì)予2個(gè)小時(shí)處置時(shí)間，2小時(shí)后開1名控制權(quán)限一級(jí)域名100分二級(jí)域名50分影響特別重大成果的由指揮部研判2被獲取PC終端、移動(dòng)終端權(quán)限(手機(jī)、限3被獲取郵箱權(quán)限郵箱賬號(hào)口令：20分500分-1000分功的只扣一次分；獲取自建、在用的郵件系統(tǒng)管理員權(quán)限，可以查1000分；特別重大情況由指揮部研判后評(píng)分。4被獲取辦公自動(dòng)化系統(tǒng)權(quán)限200分-500分獲取全局性自建、在用的0A、即時(shí)通訊、項(xiàng)目管理、財(cái)務(wù)等系統(tǒng)管理員權(quán)限5被獲取身份、賬戶管理平臺(tái)權(quán)限(SSO,系統(tǒng)管理權(quán)限300分，能登入的系統(tǒng)100分1個(gè)。6被獲取域控系統(tǒng)權(quán)限管理員權(quán)限200分，域內(nèi)可控服務(wù)7管理員權(quán)限200分，托管的服務(wù)器10分/臺(tái)。8管理員權(quán)限200分，云上主機(jī)10分9限按數(shù)據(jù)量和重要程度評(píng)分，特別重大情況由指揮部研判后評(píng)分號(hào)密碼(含SQL注管理員權(quán)限100分。同一系統(tǒng)的同等權(quán)限(包括管理員)只扣一次分被獲取網(wǎng)絡(luò)設(shè)備權(quán)限依據(jù)最終成果倒溯減分，如和核心目標(biāo)同網(wǎng)段，300分。以路由器為例，小型50分，中型150分，大型300分。包括防火墻、路由器、交換機(jī)、網(wǎng)閘、光閘、擺渡機(jī)、VPN等，特別重大情況由指揮部研判后評(píng)分被獲取工業(yè)互聯(lián)網(wǎng)系統(tǒng)權(quán)限斷、智能交通等，根據(jù)系統(tǒng)重要程度由指揮部研判后評(píng)分被獲取物聯(lián)網(wǎng)設(shè)備管控平臺(tái)帶控制功能的物聯(lián)網(wǎng)平臺(tái)200分，按照平臺(tái)上連接點(diǎn)數(shù)計(jì)算5分/臺(tái)。被獲取安全設(shè)備權(quán)限分，管理員權(quán)限200分設(shè)備控制權(quán)限(含分布式部署系統(tǒng)的管理后臺(tái)),特別重大情況由指被獲取一般Web應(yīng)用系統(tǒng)、FTP等應(yīng)用權(quán)限限100分。同一系統(tǒng)的同等權(quán)限(包括管理員)只得一次分。如果服務(wù)器主機(jī)限(含webshell權(quán)分，管理員權(quán)限100分。與其他扣分項(xiàng)不疊加扣分。特別重大情況由指揮部研判后評(píng)分系統(tǒng)、生產(chǎn)系統(tǒng)、數(shù)由指揮部參照演習(xí)目標(biāo)系統(tǒng)評(píng)分務(wù)器、設(shè)備等權(quán)限由指揮部核定評(píng)分1被攻擊者進(jìn)入邏輯隔離業(yè)務(wù)內(nèi)網(wǎng)2隔離業(yè)務(wù)內(nèi)網(wǎng)/3產(chǎn)網(wǎng)(如鐵路調(diào)度專網(wǎng)、銀行核心賬務(wù)網(wǎng)、電力生產(chǎn)控制大區(qū)、運(yùn)營(yíng)商信令網(wǎng)、能源生產(chǎn)物聯(lián)網(wǎng)等)4//1互聯(lián)網(wǎng)區(qū)如果互聯(lián)網(wǎng)區(qū)目標(biāo)系統(tǒng)外的其他重行業(yè)或某一地區(qū)重大業(yè)務(wù)開展，視同目標(biāo)系統(tǒng)失分，最高減4000分。2業(yè)務(wù)