给领导的判断口径

本体在这里治理的不是“概念”,而是安全运营的口径、规则、责任、证据和经验。

单个场景用小模型、SQL 或正则确实能做;但山西移动现在面对的是 9 大类 69 小类安全数据、31 类存量规则模型、N 类风险场景、BOMC 处置链路和 7/14 天督办机制。没有本体,能力会散在各个模型、脚本、表和人员经验里;有了本体,才能把这些变成可复用、可审计、可迭代的安全治理资产。

本体的直接价值:让 AI 每一次识别风险时,都知道“这是哪个对象、依据哪条规则、影响哪些资产、应由谁处置、需要什么证据、整改是否真的有效”。最终不是多识别一条告警,而是把安全运营从“人盯流程”升级为“知识驱动闭环”。
31类
存量规则模型纳入规则本体,避免重复建设和口径漂移。
≥10条/月
方案目标:依托知识图谱+AI 挖掘月均识别未知风险。
65%+
人工报表编制、数据统计工作量预计降低。
60%+
规则编写、整改复查等重复安全运营人力预计节省。
天级→分钟级
攻击溯源由孤立日志分析转为图谱全链路还原。

把泛化概念落到具体治理对象

“AI 持续理解业务、复用经验”的最终价值,是让安全运营里的判断口径、执行动作和验收标准不再依赖某个人临场解释,而是沉淀为组织级知识资产。

从经验管理到知识资产管理

治理数据口径

把 SDC 已纳管数据、4A、CMDB、金库、BOMC、日志平台中的账号、资产、组织、审批、工单、风险对象统一定义。AI 不是“看字段”,而是理解字段背后的业务对象。

治理规则资产

把已有 31 类模型和新挖掘规则纳入统一规则本体,明确规则名称、判定条件、风险等级、适用范围、生效时间、维护人、处置动作和误报反馈。

治理责任动作

风险不是只生成告警,而是要落到阻断、封停、派单、补审、复测、升级和考核。动作本体让处置建议可控、可审、可追责。

治理证据闭环

每个风险都要有发现证据、处置证据、整改证据、复查证据和评估结论。证据链统一后,领导看到的不只是工单数量,而是风险是否真正消除。

治理经验复用

未采纳规则原因、误报样例、整改失败案例、复查规则、报告口径都能回流知识库,后续场景复用已有经验,而不是重新写脚本、重新问专家。

为什么本体比传统方式带来明显提升

传统方式的上限是“把单个风险识别出来”;本体方式的价值是“把识别、处置、督办、评估和经验沉淀串成可持续运营体系”。

量化收益与可验收口径
1. 从“孤立日志”到“全链路溯源”

传统依赖单条日志人工排查,跨 IP、账号、设备、审批和工单的关系难以还原;本体+图谱把对象和关系建起来后,可做多跳隐藏关联和根因溯源,方案目标是将攻击溯源从天级压缩到分钟级。

2. 从“规则固化”到“规则自进化”

规则不再只是代码片段,而是包含判定条件、置信度、适用范围、冲突检测、行动建议和反馈原因的规则资产。未采纳规则可按“过宽、无关联、误报、重复”等原因沉淀并迭代。

3. 从“人工盯工单”到“责任链自动推进”

BOMC 工单反馈不再只看是否回复,而是按附件、时限、答复质量和复查结果自动稽核;7 天未整改生成问题单并通知三级经理,14 天未整改通知分管领导并生成考核单。

4. 从“完成整改”到“验证整改有效”

效果评估本体定义彻底性、副作用、合规性、时效性四维口径。若风险未彻底消除或引入新问题,系统自动重建工单并重新进入督办流程。

安全本体中枢连接规则自动挖掘、风险智能识别、风险处置、问题督办和整改效果评估
本体作为中枢,不是替代模型,而是约束模型、连接图谱、驱动工单、沉淀证据和经验。

可量化价值点:领导能直接拿来判断投入产出

以下口径来自方案与规则链整理,适合放进立项价值、验收指标或项目收益说明中。

指标化表达
价值维度
传统方式的问题
本体带来的机制变化
可量化口径
规则治理
31 类存量模型分散在不同规则、脚本和场景中,复用和冲突识别困难。
将已知规则纳入规则本体,新规则按统一 JSON/OWL 语义入库,支持重复、冲突、过宽过窄检查。
存量 31 类规则模型可纳管;未知风险月均识别 ≥10 条。
溯源效率
人工逐条查日志,跨账号、IP、设备、审批单和工单关系靠经验拼接。
基础图谱和风险图谱统一承载实体关系,支持多跳关联、根因定位和攻击链还原。
攻击溯源从天级压缩至分钟级;未知风险处置从事后天级追溯转向小时级研判。
处置督办
工单是否合规、是否超期、是否需要升级主要靠人工跟踪。
行动规则链定义派单、补证、复查、升级、考核,风险状态和动作链写入图谱。
7 天问题单、14 天考核单自动触发;高风险可按 30 分钟/2 小时/24 小时等 SLA 细化。
整改质量
“已回复”“已处理”容易等同于闭环,缺少统一验收标准。
评估本体定义四维评分,整改前中后证据包自动关联,结果回写风险节点。
彻底性、副作用、合规性、时效性四维可评分;不彻底自动重建风险工单。
运营成本
规则编写、逐条复查、月报统计和多角色报告编制重复劳动高。
智能体调度查询、统计、研判、生成、可视化等 Skills,报告按角色权限自动生成。
人工报表编制和数据统计工作量降低 65% 以上;重复安全运营人力节省 60% 以上。

五个功能模块不再“挂靠内容”,而是各自承担明确治理职责

每个模块都说明:本体治理什么、传统方式缺什么、指标价值在哪里、领导最终能看到什么变化。

模块价值重写
01

规则自动挖掘

把“异常”治理成“规则资产”。

小模型可以发现异常序列,但异常本身不能直接上线。规则挖掘模块通过本体把异常转成可审核的规则资产:包含实体、条件、关系、置信度、适用范围、处置动作和版本信息。

本体治理对象

规则定义、规则条件、适用范围、处置动作、误报原因、版本状态。

传统短板

脚本和正则能命中异常,但不知道是否重复、冲突、过宽、过窄或缺处置动作。

量化价值

31 类存量模型纳管复用;未知风险月均识别目标 ≥10 条;候选规则可记录置信度,例如 0.95。

领导看见

规则从个人经验变成组织资产,规则库规模、有效率、驳回原因和迭代效果可管理。

02

风险智能识别

把“告警”治理成“风险链”。

风险识别不是只看某条日志是否命中,而是判断账号、IP、主机、审批、敏感数据、攻击告警之间是否构成风险链。本体负责统一对象口径,知识图谱负责把链路串起来。

本体治理对象

用户、账号、主机、IP、接口、敏感表、审批单、告警、风险事件。

传统短板

单点告警容易误报,跨系统关联依赖人工查询,风险等级口径不稳定。

量化价值

9 大类 69 小类数据可在统一对象层关联;溯源从天级压缩至分钟级。

领导看见

从“有多少告警”升级为“哪些风险链影响核心资产、责任部门和整改状态”。

03

风险处置

把“建议”治理成“动作链”。

同样是高风险,不同资产、不同数据级别、不同责任链对应的动作不同。本体定义行动规则和动作边界,让大模型生成处置建议时不越界、不泛化,并能接口推送 BOMC 形成工单。

本体治理对象

阻断、封停、补审、限流、复测、派单、短信通知、升级、考核。

传统短板

处置建议依赖人工补充,容易只派单不闭环,责任对象定位慢。

量化价值

高风险可沉淀 30 分钟隔离、2 小时确认、24 小时复盘等差异化 SLA。

领导看见

风险从识别到派单、处置、反馈的状态可追溯,避免“看到了但没人管”。

04

问题督办

把“催办”治理成“责任链”。

督办不是简单提醒,而是判断工单反馈是否合规、证据是否完整、是否按期整改、是否需要升级。本体把反馈标准、SLA 和升级路径变成机器可执行规则。

本体治理对象

反馈附件、答复质量、风险时限、复查规则、问题单、考核单、通知对象。

传统短板

人工逐条审核附件和答复,超期清单容易漏跟,升级口径不统一。

量化价值

7 天未整改通知三级经理并生成问题单;14 天通知分管领导并生成考核单。

领导看见

部门整改表现、超期责任链、重复不合规反馈都能统计,管理动作有依据。

05

整改效果评估

把“已处理”治理成“真闭环”。

安全管理最怕“纸面整改”。评估模块通过本体定义四维验收口径,并把整改前、中、后证据包放进图谱关联,判断风险是否真的消除。

本体治理对象

彻底性、副作用、合规性、时效性、整改评分、残余风险、历史案例。

传统短板

工单关闭容易等于风险关闭,复查标准不统一,经验难沉淀。

量化价值

整改评分写入风险节点;不彻底或有副作用自动重建工单;报告统计工作量降低 65%+。

领导看见

从“整改数量”升级为“整改质量、残余风险、复发趋势和责任表现”。

传统方式也能做单点,但做不成组织级安全能力

这是本体的必要性:不是因为没有本体就完全不能做,而是没有本体就难以做成跨场景、跨系统、跨年度可持续复用的治理能力。

关键差异
比较项
传统正则/脚本/小模型
本体+图谱+AI
本质提升
识别对象
识别某个字段、某条日志、某个阈值。
识别账号、资产、审批、风险、责任和证据之间的关系。
从“命中条件”到“理解业务对象”。
规则生命周期
规则分散在脚本中,版本、冲突、复用靠人工。
规则以本体资产管理,支持审核、冲突检测、误报反馈和自进化。
从“写规则”到“治理规则”。
处置闭环
告警推工单,后续依赖人工盯办。
风险、工单、反馈、复查、升级、考核写入同一动作链。
从“流程自动化”到“责任自动推进”。
评估口径
看是否回复、是否关闭,质量判断主观。
按彻底性、副作用、合规性、时效性四维评估。
从“已处理”到“已有效治理”。
长期资产
项目结束后留下若干模型、脚本、页面。
留下本体、图谱、规则库、行动链、评估案例库和报告口径。
从“一次建设”到“持续复利”。

用三个典型场景说明:本体如何把“判断”变成“治理”

领导不需要理解 OWL 语法,但需要看到:本体让每个场景都能复用同一套对象、规则、动作和评估口径。

场景化证据

主机绕行 4A 违规登录

传统做法
比对登录源 IP 和 4A 堡垒机清单,命中后告警。
本体增强
关联用户、主机、来源 IP、工作时间、责任组织、4A 接管资产和操作序列。
治理价值
可判断是否非工作时间、是否开启 root 会话、是否影响核心主机,并自动派单、复查、评估。

涉敏表未触发金库

传统做法
数据库访问日志与金库审批记录做规则比对。
本体增强
把敏感等级、数据库表、账号、审批单、金库策略、导出行为和责任人关联起来。
治理价值
不只识别“缺审批”,还能判断风险等级、补审要求、责任对象和整改证据是否完整。

日志静默与防护失效

传统做法
发现某设备日志量突降或缺采集后人工排查。
本体增强
关联关键资产、日志采集任务、安全设备、策略变更、业务访问和 BOMC 告警。
治理价值
可判断是短时采集延迟还是保护失效,并触发恢复采集、策略回滚、巡检和审计闭环。

更深一层:安全不是终点,本体能力可以成为山西移动 AI 场景的通用底座

安全项目只是一个最适合先落地的切入口。真正值得领导关注的是:本体沉淀的不是某个安全页面,而是一套“让 AI 理解山西移动业务”的通用方法和资产体系,未来 AI 问数、营销、客服、运维、经营分析都能复用。

从安全试点到省公司级能力
1. 通用性不在“安全规则”,而在“业务知识表达方式”

安全场景里,本体表达账号、资产、风险、动作、证据;换到 AI 问数场景,本体表达指标、维度、口径、数据源、权限、归因路径;换到营销场景,本体表达客户、产品、权益、渠道、触点、转化指标。底层方法是一样的:把业务对象、关系、规则、动作和反馈变成 AI 可理解、可执行、可审计的结构化知识。

2. 对山西移动的价值,是降低后续 AI 场景的边际建设成本

如果每个场景都重新做提示词、重新整理口径、重新写规则,就会形成新的模型孤岛。本体能力沉淀后,后续场景可以复用统一的概念建模、知识图谱、规则治理、权限隔离、证据追溯和效果评估能力,项目越做越快,知识越用越厚。

3. 从数据治理到规则治理:把规则做成可 adapt 的维度

数据治理解决“对象是什么、口径是什么、数据从哪里来”;规则治理进一步解决“什么条件触发、阈值如何调整、动作由谁执行、证据如何验收、反馈如何迭代”。本体把规则从写死的脚本拆成对象、关系、条件、阈值、动作、证据和反馈等维度,规则变化时改维度,不是推倒重写。

4. 本体让大模型从“会生成”变成“按省公司业务口径生成”

大模型本身会写 SQL、会解释趋势、会推荐营销话术,但它不知道山西移动内部指标口径、数据血缘、权限边界、统计周期、产品约束和责任链。本体相当于给大模型加上“业务词典、规则边界和执行路线”,让输出更稳定、更可控、更能被管理层信任。

通用抽象
安全项目
AI 问数场景
营销大模型场景
对象
账号、主机、IP、日志、风险、工单、责任人。
指标、维度、口径、数据表、报表、部门、权限。
客户、产品、套餐、权益、渠道、触点、网格、活动。
关系
账号访问资产、风险触发工单、整改关联证据。
指标归属数据源、维度限定口径、权限约束可见范围。
客户匹配产品、权益绑定渠道、活动影响转化指标。
规则
风险对象、触发条件、处置 SLA、证据要求、升级策略。
指标口径、计算周期、权限边界、异常阈值、归因维度。
客群准入、权益互斥、话术合规、触达频次、转化评估。
动作
派单、阻断、复查、升级、生成报告。
解析问题、生成查询、校验口径、归因分析、形成图表。
生成策略、推荐客群、编排触达、复盘活动效果。
反馈
误报、整改结果、残余风险、评估案例。
答案纠错、口径调整、常问问题、领导关注指标沉淀。
转化率、投诉率、退订率、ROI、渠道反馈。

AI 问数场景的价值

不是让 AI 直接猜 SQL 或随便查表,而是让它按山西移动的指标字典、统计口径、数据权限、数据血缘和归因逻辑回答。价值在于同一问题同一答案、取数过程可追溯、异常变化能继续追问到影响因素和责任部门。

规则治理的价值

不是把每条规则固化成代码,而是把规则背后的对象、条件、阈值、动作、证据和反馈沉淀为可配置维度。价值在于规则能按组织要求持续调整,场景能快速迁移,管理层能看清规则为什么触发、怎样处置、效果如何。

营销大模型的价值

不是只生成营销话术,而是把客户、产品、套餐、权益、渠道、触达规则和合规边界关联起来。价值在于推荐更精准、触达更可控、活动复盘能反哺下一轮策略。

经营分析的价值

指标、维度、口径、数据源和权限先被本体定义清楚,AI 才能回答“为什么变化、影响因素是什么、该由哪个部门跟进”,而不是只生成一段看似正确的分析文字。

组织管理的价值

本体把分散在系统、文档和人员头脑里的经验变成组织资产。人员变动不会带走口径,项目复用不再从零开始,管理层能持续积累省公司自己的 AI 能力。

平台建设的价值

安全试点沉淀下来的本体建模、图谱构建、规则管理、智能体编排、证据追溯、评估反馈机制,可以作为后续各专业 AI 应用的公共能力。

最终判断:不用本体,能做几个场景;用了本体,才能沉淀山西移动自己的 AI 业务能力。

这个项目的核心不是“为了本体而本体”,而是把山西移动已有的安全数据、31 类规则模型、BOMC 工单、7/14 天督办、整改评估和多角色报告统一到一套可治理的知识底座上。更进一步,它验证了一套从数据治理走向规则治理、并可迁移到 AI 问数、营销、经营分析等场景的通用方法:让 AI 从“生成一段内容”变成“按组织口径理解业务、执行动作、沉淀经验”。

内容依据:《2026年山西公司AI+安全本体运营管控项目建设方案汇报0624.pptx》、工作区安全场景本体规则链、现有安全运营原型数据。量化口径包括:9 大类 69 小类安全数据、31 类存量模型、1 套本体、2 类图谱、6 个智能体、月均 ≥10 条未知风险、报表统计工作量降低 65% 以上、安全运营人力节省 60% 以上、溯源效率天级到分钟级/小时级。