治理数据口径
把 SDC 已纳管数据、4A、CMDB、金库、BOMC、日志平台中的账号、资产、组织、审批、工单、风险对象统一定义。AI 不是“看字段”,而是理解字段背后的业务对象。
给领导的判断口径
单个场景用小模型、SQL 或正则确实能做;但山西移动现在面对的是 9 大类 69 小类安全数据、31 类存量规则模型、N 类风险场景、BOMC 处置链路和 7/14 天督办机制。没有本体,能力会散在各个模型、脚本、表和人员经验里;有了本体,才能把这些变成可复用、可审计、可迭代的安全治理资产。
“AI 持续理解业务、复用经验”的最终价值,是让安全运营里的判断口径、执行动作和验收标准不再依赖某个人临场解释,而是沉淀为组织级知识资产。
把 SDC 已纳管数据、4A、CMDB、金库、BOMC、日志平台中的账号、资产、组织、审批、工单、风险对象统一定义。AI 不是“看字段”,而是理解字段背后的业务对象。
把已有 31 类模型和新挖掘规则纳入统一规则本体,明确规则名称、判定条件、风险等级、适用范围、生效时间、维护人、处置动作和误报反馈。
风险不是只生成告警,而是要落到阻断、封停、派单、补审、复测、升级和考核。动作本体让处置建议可控、可审、可追责。
每个风险都要有发现证据、处置证据、整改证据、复查证据和评估结论。证据链统一后,领导看到的不只是工单数量,而是风险是否真正消除。
未采纳规则原因、误报样例、整改失败案例、复查规则、报告口径都能回流知识库,后续场景复用已有经验,而不是重新写脚本、重新问专家。
传统方式的上限是“把单个风险识别出来”;本体方式的价值是“把识别、处置、督办、评估和经验沉淀串成可持续运营体系”。
传统依赖单条日志人工排查,跨 IP、账号、设备、审批和工单的关系难以还原;本体+图谱把对象和关系建起来后,可做多跳隐藏关联和根因溯源,方案目标是将攻击溯源从天级压缩到分钟级。
规则不再只是代码片段,而是包含判定条件、置信度、适用范围、冲突检测、行动建议和反馈原因的规则资产。未采纳规则可按“过宽、无关联、误报、重复”等原因沉淀并迭代。
BOMC 工单反馈不再只看是否回复,而是按附件、时限、答复质量和复查结果自动稽核;7 天未整改生成问题单并通知三级经理,14 天未整改通知分管领导并生成考核单。
效果评估本体定义彻底性、副作用、合规性、时效性四维口径。若风险未彻底消除或引入新问题,系统自动重建工单并重新进入督办流程。
以下口径来自方案与规则链整理,适合放进立项价值、验收指标或项目收益说明中。
每个模块都说明:本体治理什么、传统方式缺什么、指标价值在哪里、领导最终能看到什么变化。
把“异常”治理成“规则资产”。
小模型可以发现异常序列,但异常本身不能直接上线。规则挖掘模块通过本体把异常转成可审核的规则资产:包含实体、条件、关系、置信度、适用范围、处置动作和版本信息。
规则定义、规则条件、适用范围、处置动作、误报原因、版本状态。
脚本和正则能命中异常,但不知道是否重复、冲突、过宽、过窄或缺处置动作。
31 类存量模型纳管复用;未知风险月均识别目标 ≥10 条;候选规则可记录置信度,例如 0.95。
规则从个人经验变成组织资产,规则库规模、有效率、驳回原因和迭代效果可管理。
把“告警”治理成“风险链”。
风险识别不是只看某条日志是否命中,而是判断账号、IP、主机、审批、敏感数据、攻击告警之间是否构成风险链。本体负责统一对象口径,知识图谱负责把链路串起来。
用户、账号、主机、IP、接口、敏感表、审批单、告警、风险事件。
单点告警容易误报,跨系统关联依赖人工查询,风险等级口径不稳定。
9 大类 69 小类数据可在统一对象层关联;溯源从天级压缩至分钟级。
从“有多少告警”升级为“哪些风险链影响核心资产、责任部门和整改状态”。
把“建议”治理成“动作链”。
同样是高风险,不同资产、不同数据级别、不同责任链对应的动作不同。本体定义行动规则和动作边界,让大模型生成处置建议时不越界、不泛化,并能接口推送 BOMC 形成工单。
阻断、封停、补审、限流、复测、派单、短信通知、升级、考核。
处置建议依赖人工补充,容易只派单不闭环,责任对象定位慢。
高风险可沉淀 30 分钟隔离、2 小时确认、24 小时复盘等差异化 SLA。
风险从识别到派单、处置、反馈的状态可追溯,避免“看到了但没人管”。
把“催办”治理成“责任链”。
督办不是简单提醒,而是判断工单反馈是否合规、证据是否完整、是否按期整改、是否需要升级。本体把反馈标准、SLA 和升级路径变成机器可执行规则。
反馈附件、答复质量、风险时限、复查规则、问题单、考核单、通知对象。
人工逐条审核附件和答复,超期清单容易漏跟,升级口径不统一。
7 天未整改通知三级经理并生成问题单;14 天通知分管领导并生成考核单。
部门整改表现、超期责任链、重复不合规反馈都能统计,管理动作有依据。
把“已处理”治理成“真闭环”。
安全管理最怕“纸面整改”。评估模块通过本体定义四维验收口径,并把整改前、中、后证据包放进图谱关联,判断风险是否真的消除。
彻底性、副作用、合规性、时效性、整改评分、残余风险、历史案例。
工单关闭容易等于风险关闭,复查标准不统一,经验难沉淀。
整改评分写入风险节点;不彻底或有副作用自动重建工单;报告统计工作量降低 65%+。
从“整改数量”升级为“整改质量、残余风险、复发趋势和责任表现”。
这是本体的必要性:不是因为没有本体就完全不能做,而是没有本体就难以做成跨场景、跨系统、跨年度可持续复用的治理能力。
领导不需要理解 OWL 语法,但需要看到:本体让每个场景都能复用同一套对象、规则、动作和评估口径。
安全项目只是一个最适合先落地的切入口。真正值得领导关注的是:本体沉淀的不是某个安全页面,而是一套“让 AI 理解山西移动业务”的通用方法和资产体系,未来 AI 问数、营销、客服、运维、经营分析都能复用。
安全场景里,本体表达账号、资产、风险、动作、证据;换到 AI 问数场景,本体表达指标、维度、口径、数据源、权限、归因路径;换到营销场景,本体表达客户、产品、权益、渠道、触点、转化指标。底层方法是一样的:把业务对象、关系、规则、动作和反馈变成 AI 可理解、可执行、可审计的结构化知识。
如果每个场景都重新做提示词、重新整理口径、重新写规则,就会形成新的模型孤岛。本体能力沉淀后,后续场景可以复用统一的概念建模、知识图谱、规则治理、权限隔离、证据追溯和效果评估能力,项目越做越快,知识越用越厚。
大模型本身会写 SQL、会解释趋势、会推荐营销话术,但它不知道山西移动内部指标口径、数据血缘、权限边界、统计周期、产品约束和责任链。本体相当于给大模型加上“业务词典、规则边界和执行路线”,让输出更稳定、更可控、更能被管理层信任。
不是让 AI 直接猜 SQL 或随便查表,而是让它按山西移动的指标字典、统计口径、数据权限、数据血缘和归因逻辑回答。价值在于同一问题同一答案、取数过程可追溯、异常变化能继续追问到影响因素和责任部门。
不是只生成营销话术,而是把客户、产品、套餐、权益、渠道、触达规则和合规边界关联起来。价值在于推荐更精准、触达更可控、活动复盘能反哺下一轮策略。
指标、维度、口径、数据源和权限先被本体定义清楚,AI 才能回答“为什么变化、影响因素是什么、该由哪个部门跟进”,而不是只生成一段看似正确的分析文字。
本体把分散在系统、文档和人员头脑里的经验变成组织资产。人员变动不会带走口径,项目复用不再从零开始,管理层能持续积累省公司自己的 AI 能力。
安全试点沉淀下来的本体建模、图谱构建、规则管理、智能体编排、证据追溯、评估反馈机制,可以作为后续各专业 AI 应用的公共能力。
这个项目的核心不是“为了本体而本体”,而是把山西移动已有的安全数据、31 类规则模型、BOMC 工单、7/14 天督办、整改评估和多角色报告统一到一套可治理的知识底座上。更进一步,它验证了一套可迁移到 AI 问数、营销、经营分析等场景的通用方法:让 AI 从“生成一段内容”变成“按组织口径理解业务、执行动作、沉淀经验”。
内容依据:《2026年山西公司AI+安全本体运营管控项目建设方案汇报0624.pptx》、工作区安全场景本体规则链、现有安全运营原型数据。量化口径包括:9 大类 69 小类安全数据、31 类存量模型、1 套本体、2 类图谱、6 个智能体、月均 ≥10 条未知风险、报表统计工作量降低 65% 以上、安全运营人力节省 60% 以上、溯源效率天级到分钟级/小时级。