1、防守方加分包括：基礎得分和附加分。基礎得分上限是攻擊方成果得分的80%,附加分上限為4500分。2、基礎得分是根據防守方提交的成果報告逐一打分后累加的總得分，每個報告對應一起攻擊事件的處置，分別從監測發現、分析研判、應急處置、通報預警、協同聯動、追蹤溯源六方面打分。3、對于24小時后(從裁判打分后開始計時),防守方仍未發現的演習攻擊，原則上指揮部將攻擊成果關鍵信息脫敏后，作為線索推送給防守方，鼓節點得分的40%為基礎值進行打分。4、基礎得分中，防守方提交的報告數量上限為50個(包括提示線索告要有邏輯性，提供確鑿證據的文字描述和日志、設備界面截圖等。5、防守方提交的每一份報告圍繞一起攻擊事件編寫，只有屬于演習范疇的安全事件(屬于已認定的攻擊方戰果)方可得分，同一起事件不允許出現在多份報告中。評分點具體評分點說明124小時之內提交15%;其他時間提交5%。2括但不限于：安全設備、態勢感知1、使用單一手段發現的給2%;3監測發現攻擊類型與攻擊方采用的攻擊手段進行對1、涉“重點人”敏感信息收集3、應用層漏洞利用4、系統層漏洞利用5、釣魚郵件攻擊7、弱口令攻擊10、無線網絡攻擊11、物理近源接觸攻擊12、權限提升13、授權、認證機制繞過14、搭建隱蔽通道15、內網敏感信息搜集利用16、供應鏈打擊17、內存口令提取4基礎得分-分析研判聯單位(4%)確定該起事件涉及的資產范圍、資產所屬單位、運營單位等。根據鎖定范圍的準確性給分，例如落到基層單位給4%,落到區域或部門的給2%。5鎖定主要責任人及相關責任人(2%)責任人、其他具體負責人員等人員及其相關責任。的崗位、姓名、職責；所有被控設備、系統等都能夠確認責任人。6研判攻擊的影響和危害(4%)確定攻擊事件對業務連續性、穩定據分析的合理程度評分7分析過程(5%)詳細說明分析研判過程，包括：在分析研判過程中采用的工具或手工具、情報提取工具及工具發揮的具體作用。使用了專業型工具(如日志提取、關聯分析等)1-2個的給5%,未使用專業型工具僅采用人工方式的給2%。8備性(2%)管理辦法和應急處置預案確定事件的清晰度、準確度、完整性評分。9攻擊阻斷(4%)阻斷互聯網側攻擊源(如IP、物理接口、服務)(2%);阻斷內網攻擊入口或攻擊跳板攻擊根除(4%)根據采取的措施給分，包括定位漏威脅風險、禁用異常賬號、清除后門等。1天內完成處置(5%),2天內(3%),五天內(1%)。準確性(3%)是否能將涉及該事件的時間、影響范圍、危害以及對策措施等情況，文件。合理性(5%)能否將通報預警信息及時、合理的通報給相關部門及人員，例如全員明全員預警或定向預警的事件及詳情。有效性(5%)后已在開展隱患消除工作，向下傳達到位并有反饋。規范性(2%)程是否規范。基礎得分-協同聯動間的聯動(2%)針對該起事件單位內部安全部門、處置事件過程中的聯動機制、責任分工及產生的實際效果給分。與下屬單位的聯動工，以及產生的實際效果給分。與供應鏈企業或業動(2%)果給分。隊設備信息(4%)供完整溯源分析報告，與攻擊隊核實，如無法與本次演習攻擊隊伍的攻擊資源關聯，不得分。行路徑溯源(8%)入口給3%、部分內網跳板給3%,畫像維度包括：1、攻擊源維度：攻擊源IP位置及資產屬性、IP歷史攻擊信息、IP2、威脅樣本維度：能夠對惡意樣本進行逆向分析，通過功能分析、回聯機制、家族關聯等進行畫像。根據攻擊主機或控制主機的可信度、路徑長度、路徑還原完整度和復雜度酌情給分。附加分項零日漏洞的發現和處置(上限1500(提交漏洞特征、原理、利用方法等說明文檔，以及POC程序),處置和采取應對措施及時有效，發行為、成果有關聯。提交階段性總結在演習期間可提交3篇報告，報告不限定演習攻擊事件，可圍繞以下三個主題：(1)布防報告，入選優秀報告得300分。(2)事件處置報告。針對演習過選優秀報告得300分。(3)攻擊事件處置心得體會和總每個單位每天最多一篇。入選每日優秀技戰法100分/篇。一個單位重復提交雷同的，不得分。減分規則說明1發現防守方對任意系統非正常防守，包括用、網站首頁被改為圖片，被發現并提交確切證據分，5個小時仍未整改的，每30分鐘指揮部研發專門的系統，由攻擊隊予2個小時處置時間，2小時后開1名控制權限一級域名100分二級域名50分影響特別重大成果的由指揮部研判2被獲取PC終端、移動終端權限(手機、限3被獲取郵箱權限郵箱賬號口令：20分500分-1000分功的只扣一次分；獲取自建、在用的郵件系統管理員權限，可以查1000分；特別重大情況由指揮部研判后評分。4被獲取辦公自動化系統權限200分-500分獲取全局性自建、在用的0A、即時通訊、項目管理、財務等系統管理員權限5被獲取身份、賬戶管理平臺權限(SSO,系統管理權限300分，能登入的系統100分1個。6被獲取域控系統權限管理員權限200分，域內可控服務7管理員權限200分，托管的服務器10分/臺。8管理員權限200分，云上主機10分9限按數據量和重要程度評分，特別重大情況由指揮部研判后評分號密碼(含SQL注管理員權限100分。同一系統的同等權限(包括管理員)只扣一次分被獲取網絡設備權限依據最終成果倒溯減分，如和核心目標同網段，300分。以路由器為例，小型50分，中型150分，大型300分。包括防火墻、路由器、交換機、網閘、光閘、擺渡機、VPN等，特別重大情況由指揮部研判后評分被獲取工業互聯網系統權限斷、智能交通等，根據系統重要程度由指揮部研判后評分被獲取物聯網設備管控平臺帶控制功能的物聯網平臺200分，按照平臺上連接點數計算5分/臺。被獲取安全設備權限分，管理員權限200分設備控制權限(含分布式部署系統的管理后臺),特別重大情況由指被獲取一般Web應用系統、FTP等應用權限限100分。同一系統的同等權限(包括管理員)只得一次分。如果服務器主機限(含webshell權分，管理員權限100分。與其他扣分項不疊加扣分。特別重大情況由指揮部研判后評分系統、生產系統、數由指揮部參照演習目標系統評分務器、設備等權限由指揮部核定評分1被攻擊者進入邏輯隔離業務內網2隔離業務內網/3產網(如鐵路調度專網、銀行核心賬務網、電力生產控制大區、運營商信令網、能源生產物聯網等)4//1互聯網區如果互聯網區目標系統外的其他重行業或某一地區重大業務開展，視同目標系統失分，最高減4000分。2業務