让 AI 真正“懂安全业务”
把用户、主机、账号、日志、风险、行动、工单、证据等对象标准化定义,避免 AI 只看文本相似度,却不理解 4A、金库、BOMC、CMDB 之间的业务含义。
面向 2026 年山西公司 AI+安全本体运营管控项目
单个场景里,小模型、SQL、正则、规则引擎都能完成局部判断;但当山西移动要同时管理多类安全数据、多套系统、多种风险场景、多级责任链和长期整改闭环时,真正的难点不在“识别一次告警”,而在让 AI 持续理解业务、复用经验、解释依据、驱动处置并评估结果。
不是建设一个模型,而是建设安全工作长期复用的业务知识底座。
把专家经验、制度要求、处置动作、证据标准沉淀成机器可执行规则。
用本体约束大模型,用图谱关联上下文,用小模型发现异常,形成大小模型协同。
本体的价值不在于替代小模型、规则引擎或大模型,而是让这些能力在同一套业务语义下协同工作。它解决的是长期治理问题,不只是某一次功能实现问题。
把用户、主机、账号、日志、风险、行动、工单、证据等对象标准化定义,避免 AI 只看文本相似度,却不理解 4A、金库、BOMC、CMDB 之间的业务含义。
把隐性的制度条款、判断口径、处置经验、复查标准沉淀为规则本体和动作本体,使经验不随人员变化而流失,并能跨场景复用。
传统日志分析常停留在单条告警。本体与图谱结合后,可串起账号、IP、资产、审批、工单、攻击链和责任人,支撑根因定位与全链路溯源。
大模型负责推理和生成,本体负责边界和约束。候选规则、处置建议、评估结论都能落到实体、关系、规则和证据上,便于人工把关。
处置反馈、误报原因、整改效果、复查结果回流到本体和知识图谱中,规则可以进化,评估案例可以复用,安全运营能力越用越厚。
如果没有本体,五个模块容易变成五套规则、五套口径、五套数据接口。有了本体后,同一套核心对象贯穿从发现到评估的全过程。
下面按方案中的五个核心模块说明:传统方式怎么做、本体解决什么关键问题、对山西移动安全工作的提升在哪里。
从日志异常序列、离群模型结果和图谱上下文中生成候选规则,并进入人工审核和规则库管理。
小模型可以发现“异常序列”,正则可以描述“命中条件”,但它们不知道这个条件对应什么安全对象、适用哪些资产范围、会触发什么处置动作、是否与既有规则冲突。本体让“异常”变成可解释、可审核、可复用的安全规则。
基于规则代码、最新日志、基础图谱和风险图谱,识别风险行为并输出证据链和风险内容。
单条规则可以识别一次违规登录,但安全管理更关心“这个账号是谁、资产重要性如何、是否绕过审批、是否关联敏感数据、是否形成攻击链”。本体提供风险识别所需的业务上下文,图谱负责跨域关联。
将识别出的风险内容和处置建议推送 BOMC,形成工单、通知责任人,并把过程信息回写图谱。
处置不是简单派单。不同资产、不同账号、不同风险等级对应的处置动作、审批要求、业务影响、责任对象都不同。本体把“风险触发什么行动、行动由谁负责、需要哪些证据、什么条件下升级”固化下来。
对接 BOMC 工单反馈,开展工单合规性稽核,并按 7 天、14 天等时限自动分级督办。
定时提醒很容易做,但安全督办难在“该督谁、为什么督、依据是什么、缺什么材料、下一步升级到哪里”。本体把风险、工单、责任、SLA、反馈证据和升级动作统一成可推理链路。
按彻底性、副作用、合规性、时效性四个维度评估整改效果,识别残余风险并沉淀案例。
整改完成不等于风险消除。真正的闭环要判断风险是否复现、是否引入新问题、过程是否合规、是否满足时限。本体把评估维度和证据要求标准化,让大模型评估有依据、结果能解释、案例能复用。
传统方式并非不能实现局部功能,但难以支撑跨系统、跨场景、跨周期的持续运营。本体的优势体现在长期复用、统一治理和闭环协同。
适合快速完成单点判断,但越往后维护越重。
适合建设长期安全运营能力,越用越能沉淀。
这就是“彼此串联”的价值:一次建模,多处复用;一次反馈,反哺全链路。
本项目的价值不只是交付几个页面或模型,而是沉淀一套可持续演进的安全运营资产。
以 SDC 已纳管数据和主机未知风险管控场景为切入,建立本体模型、知识图谱、规则挖掘、风险识别、BOMC 处置、督办评估的闭环能力,形成可演示、可验证、可复用的核心框架。
将安全数据全领域逐步纳入统一本体,扩展到涉敏操作、金库审批、日志完整性、漏洞弱口令、暴露面资产、接口异常等 N 类场景,形成“数据驱动、本体赋能、智能决策”的主动防御体系。
单个风险可以用正则识别,单个异常可以用小模型发现,单个工单可以用流程系统推进。但山西移动需要的是跨数据、跨系统、跨责任、跨周期的安全运营能力。本体把业务对象、风险规则、处置动作、督办责任和整改评估沉淀为统一知识资产,让 AI 能理解、能推理、能执行、能复盘,也让管理层真正看到风险从发现到闭环的全过程。
内容依据:用户提供的《2026年山西公司AI+安全本体运营管控项目建设方案汇报0624.pptx》、工作区内安全场景本体规则链与现有原型数据整理。视觉资产由 Image2 生成并已保存到本页面 assets 目录。