给领导的判断口径

本体在这里治理的不是“概念”,而是安全运营的口径、规则、责任、证据和经验。

单个场景用小模型、SQL 或正则确实能做;但山西移动现在面对的是 9 大类 69 小类安全数据、31 类存量规则模型、N 类风险场景、BOMC 处置链路和 7/14 天督办机制。没有本体,能力会散在各个模型、脚本、表和人员经验里;有了本体,才能把这些变成可复用、可审计、可迭代的安全治理资产。

本体的直接价值:让 AI 每一次识别风险时,都知道“这是哪个对象、依据哪条规则、影响哪些资产、应由谁处置、需要什么证据、整改是否真的有效”。最终不是多识别一条告警,而是把安全运营从“人盯流程”升级为“知识驱动闭环”。
31类
存量规则模型纳入规则本体,避免重复建设和口径漂移。
≥10条/月
方案目标:依托知识图谱+AI 挖掘月均识别未知风险。
65%+
人工报表编制、数据统计工作量预计降低。
60%+
规则编写、整改复查等重复安全运营人力预计节省。
天级→分钟级
攻击溯源由孤立日志分析转为图谱全链路还原。

把泛化概念落到具体治理对象

“AI 持续理解业务、复用经验”的最终价值,是让安全运营里的判断口径、执行动作和验收标准不再依赖某个人临场解释,而是沉淀为组织级知识资产。

从经验管理到知识资产管理

治理数据口径

把 SDC 已纳管数据、4A、CMDB、金库、BOMC、日志平台中的账号、资产、组织、审批、工单、风险对象统一定义。AI 不是“看字段”,而是理解字段背后的业务对象。

治理规则资产

把已有 31 类模型和新挖掘规则纳入统一规则本体,明确规则名称、判定条件、风险等级、适用范围、生效时间、维护人、处置动作和误报反馈。

治理责任动作

风险不是只生成告警,而是要落到阻断、封停、派单、补审、复测、升级和考核。动作本体让处置建议可控、可审、可追责。

治理证据闭环

每个风险都要有发现证据、处置证据、整改证据、复查证据和评估结论。证据链统一后,领导看到的不只是工单数量,而是风险是否真正消除。

治理经验复用

未采纳规则原因、误报样例、整改失败案例、复查规则、报告口径都能回流知识库,后续场景复用已有经验,而不是重新写脚本、重新问专家。

为什么本体比传统方式带来明显提升

传统方式的上限是“把单个风险识别出来”;本体方式的价值是“把识别、处置、督办、评估和经验沉淀串成可持续运营体系”。

量化收益与可验收口径
1. 从“孤立日志”到“全链路溯源”

传统依赖单条日志人工排查,跨 IP、账号、设备、审批和工单的关系难以还原;本体+图谱把对象和关系建起来后,可做多跳隐藏关联和根因溯源,方案目标是将攻击溯源从天级压缩到分钟级。

2. 从“规则固化”到“规则自进化”

规则不再只是代码片段,而是包含判定条件、置信度、适用范围、冲突检测、行动建议和反馈原因的规则资产。未采纳规则可按“过宽、无关联、误报、重复”等原因沉淀并迭代。

3. 从“人工盯工单”到“责任链自动推进”

BOMC 工单反馈不再只看是否回复,而是按附件、时限、答复质量和复查结果自动稽核;7 天未整改生成问题单并通知三级经理,14 天未整改通知分管领导并生成考核单。

4. 从“完成整改”到“验证整改有效”

效果评估本体定义彻底性、副作用、合规性、时效性四维口径。若风险未彻底消除或引入新问题,系统自动重建工单并重新进入督办流程。

安全本体中枢连接规则自动挖掘、风险智能识别、风险处置、问题督办和整改效果评估
本体作为中枢,不是替代模型,而是约束模型、连接图谱、驱动工单、沉淀证据和经验。

可量化价值点:领导能直接拿来判断投入产出

以下口径来自方案与规则链整理,适合放进立项价值、验收指标或项目收益说明中。

指标化表达
价值维度
传统方式的问题
本体带来的机制变化
可量化口径
规则治理
31 类存量模型分散在不同规则、脚本和场景中,复用和冲突识别困难。
将已知规则纳入规则本体,新规则按统一 JSON/OWL 语义入库,支持重复、冲突、过宽过窄检查。
存量 31 类规则模型可纳管;未知风险月均识别 ≥10 条。
溯源效率
人工逐条查日志,跨账号、IP、设备、审批单和工单关系靠经验拼接。
基础图谱和风险图谱统一承载实体关系,支持多跳关联、根因定位和攻击链还原。
攻击溯源从天级压缩至分钟级;未知风险处置从事后天级追溯转向小时级研判。
处置督办
工单是否合规、是否超期、是否需要升级主要靠人工跟踪。
行动规则链定义派单、补证、复查、升级、考核,风险状态和动作链写入图谱。
7 天问题单、14 天考核单自动触发;高风险可按 30 分钟/2 小时/24 小时等 SLA 细化。
整改质量
“已回复”“已处理”容易等同于闭环,缺少统一验收标准。
评估本体定义四维评分,整改前中后证据包自动关联,结果回写风险节点。
彻底性、副作用、合规性、时效性四维可评分;不彻底自动重建风险工单。
运营成本
规则编写、逐条复查、月报统计和多角色报告编制重复劳动高。
智能体调度查询、统计、研判、生成、可视化等 Skills,报告按角色权限自动生成。
人工报表编制和数据统计工作量降低 65% 以上;重复安全运营人力节省 60% 以上。

五个功能模块不再“挂靠内容”,而是各自承担明确治理职责

每个模块都说明:本体治理什么、传统方式缺什么、指标价值在哪里、领导最终能看到什么变化。

模块价值重写
01

规则自动挖掘

把“异常”治理成“规则资产”。

小模型可以发现异常序列,但异常本身不能直接上线。规则挖掘模块通过本体把异常转成可审核的规则资产:包含实体、条件、关系、置信度、适用范围、处置动作和版本信息。

本体治理对象

规则定义、规则条件、适用范围、处置动作、误报原因、版本状态。

传统短板

脚本和正则能命中异常,但不知道是否重复、冲突、过宽、过窄或缺处置动作。

量化价值

31 类存量模型纳管复用;未知风险月均识别目标 ≥10 条;候选规则可记录置信度,例如 0.95。

领导看见

规则从个人经验变成组织资产,规则库规模、有效率、驳回原因和迭代效果可管理。

02

风险智能识别

把“告警”治理成“风险链”。

风险识别不是只看某条日志是否命中,而是判断账号、IP、主机、审批、敏感数据、攻击告警之间是否构成风险链。本体负责统一对象口径,知识图谱负责把链路串起来。

本体治理对象

用户、账号、主机、IP、接口、敏感表、审批单、告警、风险事件。

传统短板

单点告警容易误报,跨系统关联依赖人工查询,风险等级口径不稳定。

量化价值

9 大类 69 小类数据可在统一对象层关联;溯源从天级压缩至分钟级。

领导看见

从“有多少告警”升级为“哪些风险链影响核心资产、责任部门和整改状态”。

03

风险处置

把“建议”治理成“动作链”。

同样是高风险,不同资产、不同数据级别、不同责任链对应的动作不同。本体定义行动规则和动作边界,让大模型生成处置建议时不越界、不泛化,并能接口推送 BOMC 形成工单。

本体治理对象

阻断、封停、补审、限流、复测、派单、短信通知、升级、考核。

传统短板

处置建议依赖人工补充,容易只派单不闭环,责任对象定位慢。

量化价值

高风险可沉淀 30 分钟隔离、2 小时确认、24 小时复盘等差异化 SLA。

领导看见

风险从识别到派单、处置、反馈的状态可追溯,避免“看到了但没人管”。

04

问题督办

把“催办”治理成“责任链”。

督办不是简单提醒,而是判断工单反馈是否合规、证据是否完整、是否按期整改、是否需要升级。本体把反馈标准、SLA 和升级路径变成机器可执行规则。

本体治理对象

反馈附件、答复质量、风险时限、复查规则、问题单、考核单、通知对象。

传统短板

人工逐条审核附件和答复,超期清单容易漏跟,升级口径不统一。

量化价值

7 天未整改通知三级经理并生成问题单;14 天通知分管领导并生成考核单。

领导看见

部门整改表现、超期责任链、重复不合规反馈都能统计,管理动作有依据。

05

整改效果评估

把“已处理”治理成“真闭环”。

安全管理最怕“纸面整改”。评估模块通过本体定义四维验收口径,并把整改前、中、后证据包放进图谱关联,判断风险是否真的消除。

本体治理对象

彻底性、副作用、合规性、时效性、整改评分、残余风险、历史案例。

传统短板

工单关闭容易等于风险关闭,复查标准不统一,经验难沉淀。

量化价值

整改评分写入风险节点;不彻底或有副作用自动重建工单;报告统计工作量降低 65%+。

领导看见

从“整改数量”升级为“整改质量、残余风险、复发趋势和责任表现”。

传统方式也能做单点,但做不成组织级安全能力

这是本体的必要性:不是因为没有本体就完全不能做,而是没有本体就难以做成跨场景、跨系统、跨年度可持续复用的治理能力。

关键差异
比较项
传统正则/脚本/小模型
本体+图谱+AI
本质提升
识别对象
识别某个字段、某条日志、某个阈值。
识别账号、资产、审批、风险、责任和证据之间的关系。
从“命中条件”到“理解业务对象”。
规则生命周期
规则分散在脚本中,版本、冲突、复用靠人工。
规则以本体资产管理,支持审核、冲突检测、误报反馈和自进化。
从“写规则”到“治理规则”。
处置闭环
告警推工单,后续依赖人工盯办。
风险、工单、反馈、复查、升级、考核写入同一动作链。
从“流程自动化”到“责任自动推进”。
评估口径
看是否回复、是否关闭,质量判断主观。
按彻底性、副作用、合规性、时效性四维评估。
从“已处理”到“已有效治理”。
长期资产
项目结束后留下若干模型、脚本、页面。
留下本体、图谱、规则库、行动链、评估案例库和报告口径。
从“一次建设”到“持续复利”。

用三个典型场景说明:本体如何把“判断”变成“治理”

领导不需要理解 OWL 语法,但需要看到:本体让每个场景都能复用同一套对象、规则、动作和评估口径。

场景化证据

主机绕行 4A 违规登录

传统做法
比对登录源 IP 和 4A 堡垒机清单,命中后告警。
本体增强
关联用户、主机、来源 IP、工作时间、责任组织、4A 接管资产和操作序列。
治理价值
可判断是否非工作时间、是否开启 root 会话、是否影响核心主机,并自动派单、复查、评估。

涉敏表未触发金库

传统做法
数据库访问日志与金库审批记录做规则比对。
本体增强
把敏感等级、数据库表、账号、审批单、金库策略、导出行为和责任人关联起来。
治理价值
不只识别“缺审批”,还能判断风险等级、补审要求、责任对象和整改证据是否完整。

日志静默与防护失效

传统做法
发现某设备日志量突降或缺采集后人工排查。
本体增强
关联关键资产、日志采集任务、安全设备、策略变更、业务访问和 BOMC 告警。
治理价值
可判断是短时采集延迟还是保护失效,并触发恢复采集、策略回滚、巡检和审计闭环。

最终判断:不用本体,能做几个场景;用了本体,才能建设安全运营的长期能力。

这个项目的核心不是“为了本体而本体”,而是把山西移动已有的安全数据、31 类规则模型、BOMC 工单、7/14 天督办、整改评估和多角色报告统一到一套可治理的知识底座上。它让 AI 从“生成一段判断”变成“按组织口径执行安全治理”,让每次风险识别、处置和复查都沉淀为下一次治理的经验。

内容依据:《2026年山西公司AI+安全本体运营管控项目建设方案汇报0624.pptx》、工作区安全场景本体规则链、现有安全运营原型数据。量化口径包括:9 大类 69 小类安全数据、31 类存量模型、1 套本体、2 类图谱、6 个智能体、月均 ≥10 条未知风险、报表统计工作量降低 65% 以上、安全运营人力节省 60% 以上、溯源效率天级到分钟级/小时级。