那有些朋友开玩笑的说，我把网线拔掉是吧？Ok从规则来讲的话是我们作为防守方去拔网线把这个业务都下掉了，这个就有点本末倒置了。所以的话应急处置是要去做的，你只是做应急的处置而已，这个是很亏的，为什么？因为现在从这个防守的一个角度来看的话，我们要去得分的话，不是说人家打我们，我们去把他的地址封掉就就完事了。

真正作为这个防守分，我们的一个得分的一个规则，大家也都知道核心点是什么？是要去做入侵这个日志的一个溯源，还有分析，然后写成报告写上。提交上去，这个时候我们才能去拿一个分数的。所以这里有一个非常重要的一个工作，用蓝色笔来给大家标识是什么？就是这一个我们可以说是一个溯源反制，入侵的一个溯源反制，这一个是在我们对抗过程中，我们站在这个复杂的角度里面，溯源反制，然后写成报告提交上去。

你把这个 Hacker举个例子，举个例子他是谁？他首先打了哪个点，打完之后你又跳到哪个点，从外网web口这个打到内网里面来。如果你能把整一个攻击的链条能把它串联出来，然后把它给梳理出来的话，那么这个的话，你是可以得分的。现在其实重点考察的也是在这里，而不是说你只是被打了一巴掌，然后去处置一下。这种的话其实得分就不好。

Ok所以在这个决战期间，我们来梳理一下我们这里面要说什么，需要有人现场的处置，现场的值守，然后值守之后，分析是哪一类事件之后，有现场的这些安全人员、系统管理人员、网络运维人员，他们去把在相关的设备上面执行这个封杀查堵的操作。然后这里面也需要有一些溯源的专家，这种也是现在在这个攻防演练里面比较缺的这种人，也是比较贵一点的，一天的话可能从5000~8000到1万现在都有。那么的话这个要做溯源反制，要能写报告，要能够跟裁判去谈判的这么一个人，这么一伙人，那基本上你看第六步骤，我们在决战期间，我们要做的重点就这些东西了。