攻防演练 | 红队的我要如何拿分
字数 2869 2025-08-19 12:42:00

网络安全攻防演练防守方得分规则详解

一、防守方得分体系概述

防守方得分由基础得分和附加分两部分组成,总得分受扣分影响。

1. 扣分规则

  • 防守方的扣分 = 多支攻击队从该防守方获取的成果总分

2. 基础得分

  • 根据防守方提交的成果报告逐一打分后累加
  • 每个报告对应一起攻击事件的处置
  • 评分维度:监测发现、分析研判、应急处置、通报预警、协同联动、追踪溯源
  • 计算公式:该起攻击事件被扣分数 × 各评分点实际得分(百分比) × 80%
  • 基础得分上限:攻击方战果得分的80%

3. 附加分

  • 上限为3000分
  • 所有防守方单位都可以提交

二、报告提交规则

  1. 每份报告围绕一起攻击事件编写
  2. 只有属于演习范畴的安全事件(已认定的攻击方战果)方可得分
  3. 同一起事件不允许出现在多份报告中
  4. 报告数量上限为50个
  5. 报告要求:
    • 有逻辑性
    • 提供确凿证据的文字描述
    • 提供日志、设备界面截图等

三、防护值计算公式

  1. 防守方被扣分情况下:

    防护值 = (基础得分/扣分 + 附加分/3000×0.2) × 10000

  2. 防守方未扣分情况下:

    防护值 = (0.8 + 附加分/3000×0.2) × 10000

四、详细评分点解析

1. 监测发现 (25%)

评分点 权重 评价指标
及时性 5% 提交攻击时间、发现时间等
采用工具或手段 3% 提交监测发现使用的工具或手段(安全设备、态势感知平台、流量分析等)
覆盖率 9% 防守方发现的被控IP(填写被控IP地址、URL、被攻击单位名称等)占各攻击队控制其IP的总数
有效性 3% 是否能够发现攻击方有效攻击手段(18种)
其他 5% 其他监测发现相关指标

18种有效攻击手段

  1. 互联网侧信息收集
  2. 重点人敏感信息收集
  3. 供应链信息收集
  4. 应用层漏洞利用
  5. 系统层漏洞利用
  6. 钓鱼邮件攻击
  7. 社工欺骗利用攻击
  8. 弱口令攻击
  9. 网站木马攻击
  10. 内核/内存木马攻击
  11. 无线网络攻击
  12. 物理接触攻击
  13. 权限提升
  14. 授权、认证机制绕过
  15. 搭建隐蔽通道
  16. 内网敏感信息搜集利用
  17. 供应链打击
  18. 内存口令提取

2. 分析研判 (15%)

评分点 权重 评价指标
锁定涉事单位及关联单位 3% 确定事件涉及的资产范围、资产所属单位、运营单位等
锁定主要责任人及相关责任人 3% 确定主要责任人、直接责任人、其他具体负责人员等及其相关责任
明确事件性质及应采取的措施 3% 按照网络安全分级分类管理办法和应急处置预案确定事件性质及处置方案
研判攻击的影响范围 3% 确定攻击对业务连续性、稳定性、数据安全性等的影响范围
分析研判采用的工具或手段 3% 日志提取工具、关联分析工具及方法、情报提取工具及方法等及具体作用

3. 应急处置 (25%)

评分点 权重 评价指标
抑制攻击的能力 9% 阻断有效攻击源(IP、物理接口、服务等)
处置社会工程学攻击的方式与效果 3% 如何处置社会工程学攻击
根除攻击的能力 8% 漏洞定位与修复能力(小时级)、清除或处理攻击工具、异常账号等攻击载体
恢复能力 8% 业务整改恢复能力(按时间评分)

4. 通报预警 (15%)

评分点 权重 评价指标
准确性 5% 将事件时间、影响范围、危害及对策措施等详实准确表达
穿透性 5% 将通报预警信息及时传递到一线实战部门和具体责任人
有效性 5% 相关方在接到通报后已开展漏洞治理工作

5. 协同联动 (10%)

评分点 权重 评价指标
单位内部各部门联动 2% 安全部门、业务部门、管理部门等在处置事件过程中的联动机制、责任分工及实际效果
行业内部各单位联动 3% 单位行业内部相关单位在处置事件过程中的联动机制、责任分工及实际效果
与公安机关、主管部门联动 3% 与属地公安机关、主管部门的联动机制、联动防御体系、联动效率及实际效果
与下属单位联动 2% 与下属单位在处置事件过程中的联动机制、责任分工及实际效果

6. 追踪溯源 (10%)

评分点 权重 评价指标
溯源到场内攻击队设备信息 4% 根据路径长度、路径还原完整度和复杂度评分
溯源到场外攻击队设备信息 2% 根据路径长度、路径还原完整度和复杂度评分
溯源到攻击队员虚拟身份 2% 根据路径长度、路径还原完整度和复杂度评分
追踪溯源攻击主机或攻击控制主机 2% 根据攻击主机或控制主机的可信度、路径长度、路径还原完整度和复杂度评分

五、附加分项

  1. 零日漏洞的发现和处置 (上限1500分)

    • 在演习期间发现零日漏洞攻击事件
    • 需提交:
      • 漏洞特征原理、利用方法等说明文档
      • POC程序
    • 处置和采取应对措施及时有效

  2. 上报涉及本单位非法攻击线索 (上限1500分)

    • 在演习期间发生但在演习范畴之外的攻击
    • 需对攻击者画像
    • 提交内容:
      • 攻击者组织属性或个人属性
      • 所使用的攻击工具
      • 所拥有的攻击设施
      • 网络活动规律
      • 攻击手法及特点等
    • 示例:木马、后门、逻辑轰炸等

六、减分规则

1. 非正常防守

  • 行为定义:防守方对任意系统非正常防守,包括:
    • 封C段
    • 网站不可用
    • 网站首页被改为图片
  • 扣分规则
    • 被发现并提交确切证据后
    • 每30分钟减10分
    • 5个小时仍未整改的,每30分钟减20分
  • 执行机制
    • 指挥部研发专门系统
    • 攻击队提交防守方非正常防守的线索证据
    • 系统核验并通知防守方
    • 给予2个小时处置时间
    • 2小时后开始扣分
    • 采用滴血式扣分方式,直到防守方改正行为

2. 系统或网络被控

  • 权限被控
    • 攻击方获取参演单位的域名控制权限
    • 一级域名被控扣分严重

七、防守策略建议

  1. 监测发现重点

    • 确保覆盖18种有效攻击手段
    • 提高监测及时性和覆盖率
    • 合理使用多种监测工具

  2. 分析研判要点

    • 快速准确锁定责任单位和责任人
    • 全面评估影响范围
    • 使用专业分析工具

  3. 应急处置关键

    • 快速抑制攻击
    • 彻底根除攻击载体
    • 高效恢复业务

  4. 协同联动建议

    • 建立完善的内部联动机制
    • 加强与行业、公安等外部单位的协作

  5. 追踪溯源技巧

    • 注重攻击路径还原
    • 收集完整证据链
    • 尝试识别攻击者身份

  6. 附加分获取策略

    • 关注零日漏洞的发现和利用
    • 主动发现演习范畴外的攻击线索
    • 深入分析攻击者画像

  7. 避免扣分措施

    • 避免采用非正常防守手段
    • 及时响应和处理系统被控情况
    • 关注指挥部通知并及时整改问题
网络安全攻防演练防守方得分规则详解 一、防守方得分体系概述 防守方得分由基础得分和附加分两部分组成,总得分受扣分影响。 1. 扣分规则 防守方的扣分 = 多支攻击队从该防守方获取的成果总分 2. 基础得分 根据防守方提交的成果报告逐一打分后累加 每个报告对应一起攻击事件的处置 评分维度:监测发现、分析研判、应急处置、通报预警、协同联动、追踪溯源 计算公式:该起攻击事件被扣分数 × 各评分点实际得分(百分比) × 80% 基础得分上限:攻击方战果得分的80% 3. 附加分 上限为3000分 所有防守方单位都可以提交 二、报告提交规则 每份报告围绕一起攻击事件编写 只有属于演习范畴的安全事件(已认定的攻击方战果)方可得分 同一起事件不允许出现在多份报告中 报告数量上限为50个 报告要求: 有逻辑性 提供确凿证据的文字描述 提供日志、设备界面截图等 三、防护值计算公式 防守方被扣分情况下: 防守方未扣分情况下: 四、详细评分点解析 1. 监测发现 (25%) | 评分点 | 权重 | 评价指标 | |--------|------|----------| | 及时性 | 5% | 提交攻击时间、发现时间等 | | 采用工具或手段 | 3% | 提交监测发现使用的工具或手段(安全设备、态势感知平台、流量分析等) | | 覆盖率 | 9% | 防守方发现的被控IP(填写被控IP地址、URL、被攻击单位名称等)占各攻击队控制其IP的总数 | | 有效性 | 3% | 是否能够发现攻击方有效攻击手段(18种) | | 其他 | 5% | 其他监测发现相关指标 | 18种有效攻击手段 : 互联网侧信息收集 重点人敏感信息收集 供应链信息收集 应用层漏洞利用 系统层漏洞利用 钓鱼邮件攻击 社工欺骗利用攻击 弱口令攻击 网站木马攻击 内核/内存木马攻击 无线网络攻击 物理接触攻击 权限提升 授权、认证机制绕过 搭建隐蔽通道 内网敏感信息搜集利用 供应链打击 内存口令提取 2. 分析研判 (15%) | 评分点 | 权重 | 评价指标 | |--------|------|----------| | 锁定涉事单位及关联单位 | 3% | 确定事件涉及的资产范围、资产所属单位、运营单位等 | | 锁定主要责任人及相关责任人 | 3% | 确定主要责任人、直接责任人、其他具体负责人员等及其相关责任 | | 明确事件性质及应采取的措施 | 3% | 按照网络安全分级分类管理办法和应急处置预案确定事件性质及处置方案 | | 研判攻击的影响范围 | 3% | 确定攻击对业务连续性、稳定性、数据安全性等的影响范围 | | 分析研判采用的工具或手段 | 3% | 日志提取工具、关联分析工具及方法、情报提取工具及方法等及具体作用 | 3. 应急处置 (25%) | 评分点 | 权重 | 评价指标 | |--------|------|----------| | 抑制攻击的能力 | 9% | 阻断有效攻击源(IP、物理接口、服务等) | | 处置社会工程学攻击的方式与效果 | 3% | 如何处置社会工程学攻击 | | 根除攻击的能力 | 8% | 漏洞定位与修复能力(小时级)、清除或处理攻击工具、异常账号等攻击载体 | | 恢复能力 | 8% | 业务整改恢复能力(按时间评分) | 4. 通报预警 (15%) | 评分点 | 权重 | 评价指标 | |--------|------|----------| | 准确性 | 5% | 将事件时间、影响范围、危害及对策措施等详实准确表达 | | 穿透性 | 5% | 将通报预警信息及时传递到一线实战部门和具体责任人 | | 有效性 | 5% | 相关方在接到通报后已开展漏洞治理工作 | 5. 协同联动 (10%) | 评分点 | 权重 | 评价指标 | |--------|------|----------| | 单位内部各部门联动 | 2% | 安全部门、业务部门、管理部门等在处置事件过程中的联动机制、责任分工及实际效果 | | 行业内部各单位联动 | 3% | 单位行业内部相关单位在处置事件过程中的联动机制、责任分工及实际效果 | | 与公安机关、主管部门联动 | 3% | 与属地公安机关、主管部门的联动机制、联动防御体系、联动效率及实际效果 | | 与下属单位联动 | 2% | 与下属单位在处置事件过程中的联动机制、责任分工及实际效果 | 6. 追踪溯源 (10%) | 评分点 | 权重 | 评价指标 | |--------|------|----------| | 溯源到场内攻击队设备信息 | 4% | 根据路径长度、路径还原完整度和复杂度评分 | | 溯源到场外攻击队设备信息 | 2% | 根据路径长度、路径还原完整度和复杂度评分 | | 溯源到攻击队员虚拟身份 | 2% | 根据路径长度、路径还原完整度和复杂度评分 | | 追踪溯源攻击主机或攻击控制主机 | 2% | 根据攻击主机或控制主机的可信度、路径长度、路径还原完整度和复杂度评分 | 五、附加分项 零日漏洞的发现和处置 (上限1500分) 在演习期间发现零日漏洞攻击事件 需提交: 漏洞特征原理、利用方法等说明文档 POC程序 处置和采取应对措施及时有效 上报涉及本单位非法攻击线索 (上限1500分) 在演习期间发生但在演习范畴之外的攻击 需对攻击者画像 提交内容: 攻击者组织属性或个人属性 所使用的攻击工具 所拥有的攻击设施 网络活动规律 攻击手法及特点等 示例:木马、后门、逻辑轰炸等 六、减分规则 1. 非正常防守 行为定义 :防守方对任意系统非正常防守,包括: 封C段 网站不可用 网站首页被改为图片 扣分规则 : 被发现并提交确切证据后 每30分钟减10分 5个小时仍未整改的,每30分钟减20分 执行机制 : 指挥部研发专门系统 攻击队提交防守方非正常防守的线索证据 系统核验并通知防守方 给予2个小时处置时间 2小时后开始扣分 采用滴血式扣分方式,直到防守方改正行为 2. 系统或网络被控 权限被控 : 攻击方获取参演单位的域名控制权限 一级域名被控扣分严重 七、防守策略建议 监测发现重点 : 确保覆盖18种有效攻击手段 提高监测及时性和覆盖率 合理使用多种监测工具 分析研判要点 : 快速准确锁定责任单位和责任人 全面评估影响范围 使用专业分析工具 应急处置关键 : 快速抑制攻击 彻底根除攻击载体 高效恢复业务 协同联动建议 : 建立完善的内部联动机制 加强与行业、公安等外部单位的协作 追踪溯源技巧 : 注重攻击路径还原 收集完整证据链 尝试识别攻击者身份 附加分获取策略 : 关注零日漏洞的发现和利用 主动发现演习范畴外的攻击线索 深入分析攻击者画像 避免扣分措施 : 避免采用非正常防守手段 及时响应和处理系统被控情况 关注指挥部通知并及时整改问题