面向 2026 年山西公司 AI+安全本体运营管控项目

为什么一定要用本体?因为它把安全运营从单点识别升级为长期治理底座。

单个场景里,小模型、SQL、正则、规则引擎都能完成局部判断;但当山西移动要同时管理多类安全数据、多套系统、多种风险场景、多级责任链和长期整改闭环时,真正的难点不在“识别一次告警”,而在让 AI 持续理解业务、复用经验、解释依据、驱动处置并评估结果。

一句话回答:本体解决的是安全运营中的“统一语义、统一规则、统一责任、统一证据、统一评估”问题。它让规则挖掘、风险识别、处置督办和效果评估不再是五个割裂工具,而是一条可追溯、可治理、可进化的安全风险闭环。
领导视角

不是建设一个模型,而是建设安全工作长期复用的业务知识底座。

运营视角

把专家经验、制度要求、处置动作、证据标准沉淀成机器可执行规则。

技术视角

用本体约束大模型,用图谱关联上下文,用小模型发现异常,形成大小模型协同。

安全本体中枢连接规则自动挖掘、风险智能识别、风险处置、问题督办和整改效果评估
Image2 生成并优化的概念视觉:本体作为安全运营中枢,把数据、规则、责任、证据和评估结果连成闭环。

为什么一定要用本体

本体的价值不在于替代小模型、规则引擎或大模型,而是让这些能力在同一套业务语义下协同工作。它解决的是长期治理问题,不只是某一次功能实现问题。

从工具建设转向体系建设
1

让 AI 真正“懂安全业务”

把用户、主机、账号、日志、风险、行动、工单、证据等对象标准化定义,避免 AI 只看文本相似度,却不理解 4A、金库、BOMC、CMDB 之间的业务含义。

2

把专家经验变成知识资产

把隐性的制度条款、判断口径、处置经验、复查标准沉淀为规则本体和动作本体,使经验不随人员变化而流失,并能跨场景复用。

3

支撑跨系统多跳关联

传统日志分析常停留在单条告警。本体与图谱结合后,可串起账号、IP、资产、审批、工单、攻击链和责任人,支撑根因定位与全链路溯源。

4

约束模型输出可审核

大模型负责推理和生成,本体负责边界和约束。候选规则、处置建议、评估结论都能落到实体、关系、规则和证据上,便于人工把关。

5

形成持续进化闭环

处置反馈、误报原因、整改效果、复查结果回流到本体和知识图谱中,规则可以进化,评估案例可以复用,安全运营能力越用越厚。

本体把五个模块串成一条安全运营主线

如果没有本体,五个模块容易变成五套规则、五套口径、五套数据接口。有了本体后,同一套核心对象贯穿从发现到评估的全过程。

对象、关系、规则、动作、证据
安全对象 用户、主账号、从账号、主机、数据库、接口、敏感表、安全设备、业务系统。
行为事件 登录、跳转、导出、审批、操作、告警、工单反馈、复查检测。
风险规则 绕行 4A、涉敏操作、权限漂移、日志静默、漏洞弱口令、接口异常。
处置动作 阻断、封停、派单、通知、补审、限流、复测、升级、考核。
责任链路 账号责任人、资产负责人、系统负责人、部门负责人、三级经理、分管领导。
评估证据 整改前日志、审批单、工单附件、整改后复查日志、残余风险、历史案例。

各功能模块中的本体价值

下面按方案中的五个核心模块说明:传统方式怎么做、本体解决什么关键问题、对山西移动安全工作的提升在哪里。

逐模块说明
01

规则自动挖掘

从日志异常序列、离群模型结果和图谱上下文中生成候选规则,并进入人工审核和规则库管理。

小模型可以发现“异常序列”,正则可以描述“命中条件”,但它们不知道这个条件对应什么安全对象、适用哪些资产范围、会触发什么处置动作、是否与既有规则冲突。本体让“异常”变成可解释、可审核、可复用的安全规则。

传统方式能做到
  • 按单个日志字段写 SQL、正则或脚本。
  • 用 DeepLog、LSTM 等模型发现异常行为。
  • 依靠专家手工总结规则并上线。
本体解决的问题
  • 把异常行为映射到用户、资产、日志、风险、动作等标准概念。
  • 检查候选规则是否重复、冲突、过宽或过窄。
  • 把风险判断条件和处置动作解耦,便于版本治理。
带来的提升
  • 候选规则从“模型输出”升级为“规则资产”。
  • 新场景可复用已有实体、关系、动作模板。
  • 规则能随误报、驳回、处置效果持续进化。
02

风险智能识别

基于规则代码、最新日志、基础图谱和风险图谱,识别风险行为并输出证据链和风险内容。

单条规则可以识别一次违规登录,但安全管理更关心“这个账号是谁、资产重要性如何、是否绕过审批、是否关联敏感数据、是否形成攻击链”。本体提供风险识别所需的业务上下文,图谱负责跨域关联。

传统方式能做到
  • 对某类日志进行字段比对和规则命中。
  • 按固定阈值输出高、中、低风险。
  • 把结果推到看板或告警列表。
本体解决的问题
  • 统一 4A、CMDB、BOMC、金库、日志平台的对象口径。
  • 通过账号、IP、主机、敏感资产、审批单进行多跳验证。
  • 让风险等级与资产价值、数据敏感级别、攻击链阶段关联。
带来的提升
  • 减少孤立告警和误报,提高研判一致性。
  • 风险证据可追溯,便于领导看趋势、运营看明细。
  • 支持从事后处置走向事中识别和事前预判。
03

风险处置

将识别出的风险内容和处置建议推送 BOMC,形成工单、通知责任人,并把过程信息回写图谱。

处置不是简单派单。不同资产、不同账号、不同风险等级对应的处置动作、审批要求、业务影响、责任对象都不同。本体把“风险触发什么行动、行动由谁负责、需要哪些证据、什么条件下升级”固化下来。

传统方式能做到
  • 根据告警类型创建 BOMC 工单。
  • 按模板短信或邮件通知责任人。
  • 依靠人工补充处置建议。
本体解决的问题
  • 把处置动作抽象为可复用的动作本体和行动规则链。
  • 依据风险对象自动定位资产责任人、账号责任人和部门链路。
  • 约束处置建议,避免大模型给出越权、泛化或不合规动作。
带来的提升
  • 从“发现告警”延伸到“推动整改”。
  • 处置建议更精准,减少一刀切阻断对业务的影响。
  • 处置过程自动留痕,后续督办和评估有证据可用。
04

问题督办

对接 BOMC 工单反馈,开展工单合规性稽核,并按 7 天、14 天等时限自动分级督办。

定时提醒很容易做,但安全督办难在“该督谁、为什么督、依据是什么、缺什么材料、下一步升级到哪里”。本体把风险、工单、责任、SLA、反馈证据和升级动作统一成可推理链路。

传统方式能做到
  • 按工单状态和时间阈值发送提醒。
  • 人工检查附件是否齐全、回复是否有效。
  • 人工汇总超期清单并升级。
本体解决的问题
  • 定义不同风险类型的反馈标准、必传附件和时限规则。
  • 把“不合规反馈”作为事件写入风险图谱,继续驱动后续动作。
  • 将 7 天问题单、14 天考核单等升级路径规则化。
带来的提升
  • 督办从人工盯办变成规则驱动的责任闭环。
  • 管理层能看到部门、系统、责任人的真实整改表现。
  • 减少漏督、错督和口径不一致。
05

整改效果评估

按彻底性、副作用、合规性、时效性四个维度评估整改效果,识别残余风险并沉淀案例。

整改完成不等于风险消除。真正的闭环要判断风险是否复现、是否引入新问题、过程是否合规、是否满足时限。本体把评估维度和证据要求标准化,让大模型评估有依据、结果能解释、案例能复用。

传统方式能做到
  • 人工查看工单反馈,主观判断是否闭环。
  • 按少量抽查或复测结果确认整改。
  • 事后再人工编制月报、周报。
本体解决的问题
  • 定义整改前、整改中、整改后证据包。
  • 统一彻底性、副作用、合规性、时效性评分口径。
  • 把评估结论写回图谱,触发重建工单、通知或考核。
带来的提升
  • 闭环质量可量化,避免“纸面整改”。
  • 形成效果评估案例库,沉淀长期治理经验。
  • 支撑角色化安全运营报告自动生成。

和传统实现方式相比,本体提升在哪里

传统方式并非不能实现局部功能,但难以支撑跨系统、跨场景、跨周期的持续运营。本体的优势体现在长期复用、统一治理和闭环协同。

局部可用 vs 系统可持续

只用正则、小模型、脚本和流程引擎

适合快速完成单点判断,但越往后维护越重。

  • 语义不统一:不同系统字段和术语各自解释,AI 和脚本难以理解业务含义。
  • 规则孤岛:每个场景一套逻辑,复用差,规则冲突和重复难发现。
  • 证据断裂:告警、资产、审批、工单、整改结果分散,难以还原风险全链路。
  • 治理靠人工:处置、督办、复查、报告大量依赖人工经验和反复沟通。

本体 + 知识图谱 + 大小模型协同

适合建设长期安全运营能力,越用越能沉淀。

  • 统一语义:资产、账号、日志、规则、动作、证据都有标准定义和关系。
  • 规则资产化:候选规则可审核、可解释、可版本化、可复用、可进化。
  • 链路可追溯:风险识别、工单处置、整改反馈、效果评估形成完整证据链。
  • 管理可量化:部门表现、责任闭环、整改质量、规则效果都能持续统计和复盘。

五个模块共享同一套本体对象

这就是“彼此串联”的价值:一次建模,多处复用;一次反馈,反哺全链路。

统一底座
本体要素
规则挖掘
风险识别
风险处置
问题督办
整改评估
实体与属性
定义异常涉及哪些账号、主机、日志、系统。
识别风险对象和影响范围。
定位资产责任人和处置对象。
确认督办对象和部门链路。
确认评估对象和证据来源。
关系与图谱
发现多跳隐藏关联和候选规则线索。
还原账号、IP、资产、审批、告警链路。
关联处置动作与业务影响。
追踪工单状态、升级关系和责任链。
对比整改前后风险链是否断开。
规则与约束
规则生成、冲突检测、置信度评分。
风险等级、适用范围、误报过滤。
处置动作边界和审批约束。
SLA、附件、反馈质量、升级策略。
彻底性、副作用、合规性、时效性。
反馈与沉淀
驳回原因和误报样例反哺规则进化。
命中质量沉淀为识别优化依据。
处置结果成为后续督办证据。
督办过程成为责任管理依据。
评估案例成为长期知识库。

对山西移动安全工作的长期价值

本项目的价值不只是交付几个页面或模型,而是沉淀一套可持续演进的安全运营资产。

安全能力长期复利
1套
安全业务场景本体,承载资产、行为、规则、日志、动作和评估约束。
2类
基础数据知识图谱与风险数据知识图谱,支撑关联溯源和闭环追踪。
6个
场景智能体,覆盖图谱构建、规则挖掘、代码生成、督办、评估和报告。
60%+
预计降低重复性安全运营人力,报告编制和数据统计工作量降低 65% 以上。

近期价值:把试点场景做深

以 SDC 已纳管数据和主机未知风险管控场景为切入,建立本体模型、知识图谱、规则挖掘、风险识别、BOMC 处置、督办评估的闭环能力,形成可演示、可验证、可复用的核心框架。

远期价值:把全域安全做厚

将安全数据全领域逐步纳入统一本体,扩展到涉敏操作、金库审批、日志完整性、漏洞弱口令、暴露面资产、接口异常等 N 类场景,形成“数据驱动、本体赋能、智能决策”的主动防御体系。

最终要向领导传达的不是“本体更先进”,而是“本体让安全治理可持续”。

单个风险可以用正则识别,单个异常可以用小模型发现,单个工单可以用流程系统推进。但山西移动需要的是跨数据、跨系统、跨责任、跨周期的安全运营能力。本体把业务对象、风险规则、处置动作、督办责任和整改评估沉淀为统一知识资产,让 AI 能理解、能推理、能执行、能复盘,也让管理层真正看到风险从发现到闭环的全过程。

内容依据:用户提供的《2026年山西公司AI+安全本体运营管控项目建设方案汇报0624.pptx》、工作区内安全场景本体规则链与现有原型数据整理。视觉资产由 Image2 生成并已保存到本页面 assets 目录。