Phase II · Ontology Governance · Security Review
山西移动 AI+安全本体运营管控项目二期方案评审
围绕业务分工、四大能力本体实现、DeepDive 未知风险发掘、验收标准、六大智能体、一期规则和二期数据范围的方案评审页。
把业务分工、数据范围、智能体能力和验收标准放在同一张方案图里,便于内部评审和跨部门对齐。
先明确数据、规则、处置标准和验收责任,再推进本体建模。
未知风险挖掘、识别处置、风险督办、效果评估形成闭环。
图谱构建、规则生成、代码生成、督办、评估、运营报告协同。
主机、网络、安全设备、业务平台、合规、应用等数据支撑图谱。
Full Content
山西移动 AI+安全本体运营管控项目二期方案评审
山西移动 AI+安全本体运营管控项目二期方案评审
本页围绕二期建设方案重新梳理,重点回答:安全业务部门如何分工、四大能力如何基于本体实现、未知风险挖掘如何验收、六大智能体如何建设、一期规则如何回顾、二期数据范围如何承载本体与图谱。
第一部分:安全业务部门分工
二期方案建议把业务分工前置,因为本体建模不是纯技术建模,必须先明确哪些部门提供数据、规则、处置标准和验收依据。公开版使用脱敏负责人标识,完整负责人以本地《安全业务部门分工.xlsx》为准。
| 业务板块 | 面向的日常数据 | 脱敏负责人 | 日常工作内容 |
|---|---|---|---|
| 网络安全与监测 | 安全设备日志、态势告警、威胁情报、互联网暴露面、巡检和渗透测试结果 | 负责人 A | 安全巡检、特征库更新、策略优化、态势监测、重大活动保障、威胁处置 |
| 安全审计 | 4A 操作日志、审计策略、分级审计报告、账号审阅清单、日志稽核记录 | 负责人 B | 审计计划、策略更新、日常/专项审计、日志完整性稽核、审计问题跟踪 |
| 数据安全 | 涉敏系统、涉敏人员、涉敏场景、分类分级、对外接口、数据提供评审材料 | 负责人 C | 数据安全评估、涉敏梳理、分类分级管理、对外接口管理、应急演练和培训 |
| 合规 | 漏洞扫描、基线检查、弱口令、互联网暴露面、APP/代码审计、安全评估 | 负责人 D | 漏洞检查、基线和弱口令检查、暴露面报备、代码审计、风险排查 |
| 4A 管理 | 账号生命周期、账号创建/变更/注销、口令、权限、认证授权、账号审计 | 负责人 E | 账号全生命周期管理、实名稽核、权限管控、账号清理、合作方账号管理 |
| 终端安全 | 生产终端、办公终端、终端安全软件、准入控制、上网行为、终端安全事件 | 负责人 F | 终端安全软件安装升级、病毒库更新、终端事件处置、准入和上网行为管控 |
第二部分:核心结论与四大能力流程图
二期方案已体现四大能力:未知风险挖掘、风险识别与处置、风险督办、效果评估。需要进一步细化的是:每一块不是孤立功能,而是由安全本体定义“对象、关系、规则、动作、证据”,由知识图谱承载运行状态,由智能体和 Skills 执行业务闭环。
四大能力闭环:日志与数据输入先进入安全本体和基础数据图谱,未知风险挖掘输出候选规则;候选规则经人工确认和代码生成后进入风险识别与处置;风险事件触发 BOMC 工单和处置动作;工单反馈进入风险督办;整改完成后进入效果评估,评估结果反向沉淀到风险规则库、案例库和图谱中,形成持续进化闭环。
日志本体统一字段、来源和行为序列,DeepLog 与 DeepDive 在图谱上下文中发现候选风险规则。
规则本体约束条件、阈值、等级和动作,代码生成智能体将确认规则转为可执行识别逻辑。
工单反馈、SLA、升级对象和动作终止条件进入督办本体,驱动合规稽核和分级升级。
整改前后证据、残余风险、副作用、合规材料和时效要求回写图谱,沉淀为评估知识。
四大能力是否体现及本体实现落点
| 四大能力 | 方案是否体现 | 本体具体实现 | 图谱/智能体落点 |
|---|---|---|---|
| 未知风险挖掘 | 已体现,二期方案第 22-26 页围绕 DeepLog、未知风险规则智能体、代码生成智能体展开 | 日志本体统一原始日志、模板、字段、时间、来源;行为本体定义账号、资产、操作序列;规则本体定义候选规则结构、置信度、适用范围、风险等级和动作建议 | DeepLog 输出异常序列;未知风险规则智能体结合图谱上下文生成规则;人工确认后写入风险规则库和风险数据图谱 |
| 风险识别与处置 | 已体现,二期方案第 27 页明确“新旧规则执行、生成风险内容、对接 BOMC” | 风险本体定义风险事件、风险等级、命中规则、证据日志;动作本体定义告警、派单、阻断、通知、写图谱 | 代码生成智能体把规则转为可执行逻辑;风险识别结果写入风险图谱;BOMC 工单与处置动作形成链路 |
| 风险督办 | 已体现,二期方案第 28 页明确工单合规性稽核、7/14 天督办、图谱动作链终止 | 工单反馈本体定义附件、说明材料、反馈时限、合规结论;督办本体定义 SLA、升级对象、问题单、考核单、动作终止条件 | 风险督办智能体读取工单反馈和图谱风险状态,执行合规稽核、复查、升级通知、问题单/考核单生成 |
| 效果评估 | 已体现,二期方案第 29 页明确彻底性、副作用、合规性、时效性评估 | 评估本体定义整改前证据、整改动作、整改后证据、残余风险、副作用、合规材料和时效要求 | 效果评估智能体结合 RAG 案例库和风险图谱输出结构化评估,并把评估结果回写风险图谱 |
第三部分:四大板块实现方案
这一部分不再只看单个能力,而是把二期的本体、图谱、智能体、代码执行、BOMC 工单和效果评估串成一条可落地的业务技术流程。
接入主机、网络、安全设备、4A、BOMC、合规和应用操作日志,完成字段口径、日志模板和实体抽取。
将资产、账号、行为、规则、风险、工单、证据、评估对象统一到安全本体和规则本体中。
形成基础数据知识图谱和风险数据知识图谱,支持多跳关联、路径追踪和 DeepDive 场景分析。
由规则智能体、代码生成智能体、督办智能体和评估智能体分别完成规则生成、识别、督办和评估。
风险事件、工单反馈、复查证据和评估结果回写图谱,沉淀为规则库、案例库和运营报告。
- DeepLog 发现异常序列
- DeepDive 补全图谱证据链
- 候选规则经人工确认入库
- 规则转为可执行识别代码
- 沙箱运行并自动修复报错
- 生成风险事件与 BOMC 工单
- 读取工单反馈和风险状态
- 稽核附件、说明和整改时限
- 按 7/14 天规则分级升级
- 对比整改前后证据
- 判断彻底性、副作用、合规性和时效性
- 残余风险触发后续处置
1. 未知风险挖掘:从异常序列到候选规则
未知风险挖掘是二期首要能力,核心目标是突破一期固定规则库的覆盖边界。实现时不能只让 AI 写规则,而要让 AI 在本体约束下理解日志、资产、账号、行为和风险链路。
| 实现环节 | 本体如何参与 | 处理方式 | 产出 |
|---|---|---|---|
| 日志标准化 | 日志本体定义字段口径、日志类型、来源设备、账号、IP、时间、操作和解析状态 | 对主机、网络、安全、4A、应用等日志过滤、清洗、模板化和上下文补全 | 标准日志、日志模板、日志质量报告 |
| 正常行为建模 | 行为本体定义“谁在什么时间、从哪里、对什么资产、做了什么动作” | DeepLog 对操作序列建模,学习正常路径和上下文序列 | 正常行为基线、异常序列、异常分 |
| DeepDive 关联分析 | 资产、账号、权限、组织、工单、风险关系写入基础图谱 | 对异常点做多跳查询,找隐藏关联、路径断裂、责任对象和相似历史案例 | DeepDive 证据链、根因线索、风险解释 |
| 候选规则生成 | 规则本体约束规则名称、条件、阈值、适用范围、风险等级、处置动作和版本 | 未知风险规则智能体调用规则生成 Skill,输出结构化候选规则 | 候选规则、解释依据、处置建议 |
| 人工确认和自进化 | 规则本体记录采纳、驳回、误报、重复、过宽、过窄等状态 | 人工审核后入库;未采纳规则进入优化池,支持合并、拆分、泛化、淘汰 | 有效规则库、规则版本、未采纳原因 |
2. 风险识别与处置:从规则到告警和工单
风险识别与处置负责把候选规则变成可执行识别逻辑,并把识别结果转为风险事件和处置动作。
| 实现环节 | 本体如何参与 | 处理方式 | 产出 |
|---|---|---|---|
| 规则语义解析 | 规则本体把自然语言规则转为字段、条件、关系、阈值、动作 | 代码生成智能体读取规则 JSON 和样例日志,拆解数据预处理、上下文增强、判定逻辑、结果格式化 | 风险识别代码、规则执行计划 |
| 沙箱执行 | 动作本体定义代码运行、错误捕获、重试、修复、保存等动作 | OpenSandbox 隔离运行,失败后调用代码进化 Skill 自动修复 | 运行日志、修复记录、可用代码版本 |
| 风险事件生成 | 风险本体定义主体、资产、账号、IP、时间、证据、命中规则、风险等级 | 执行新规则和一期规则,识别风险行为并结构化输出 | 风险事件、告警内容、处置建议 |
| BOMC 处置 | 动作本体定义派单、通知、阻断、回写和审计 | 通过接口创建工单,通知责任对象,处置过程回写风险图谱 | BOMC 工单、通知记录、风险处置链 |
3. 风险督办:从工单反馈到分级升级
风险督办解决“派单后是否真实整改”的问题,重点是把移动内部制度要求沉淀为督办规则和工单合规性规则。
| 实现环节 | 本体如何参与 | 处理方式 | 产出 |
|---|---|---|---|
| 工单反馈稽核 | 工单本体定义反馈内容、附件、说明材料、反馈时间、合规结论 | LLM 结合研判规则库识别“附件为空、说明不足、简单回复”等不合规反馈 | 合规/不合规结论、重派建议 |
| 整改复查 | 风险本体和证据本体定义复查字段、相同告警、整改后日志、证据完整性 | 调用复查 Skill 查询最新日志、相同风险、处置记录和证据包 | 复查结论、证据包、整改状态 |
| 分级督办 | 督办本体定义 7 天、14 天节点、升级对象、问题单、考核单 | 定时任务检查超期风险:7 天生成问题单,14 天生成考核单和升级通知 | 问题单、考核单、升级通知 |
| 状态回写 | 图谱关系定义风险、工单、督办、复查、评估之间的动作链 | 合规闭环则终止动作链;未闭环继续督办 | 风险状态、动作链、审计记录 |
4. 效果评估:从整改证据到治理闭环
效果评估负责判断整改是否真正降低风险,而不是只看工单是否关闭。
| 评估维度 | 本体如何实现 | 需要的证据 | 输出 |
|---|---|---|---|
| 彻底性 | 风险本体定义风险是否消失、是否存在残余变种 | 整改前后日志、同类告警、复扫/复查结果 | 彻底/不彻底、残余风险说明 |
| 副作用 | 行为和资产关系判断整改是否影响业务、引发新风险 | 变更记录、业务状态、后续告警、异常操作 | 是否引发新问题、影响范围 |
| 合规性 | 制度规则抽取为评估规则本体 | 审批、变更窗口、测试报告、附件材料 | 合规/不合规、缺失材料 |
| 时效性 | 风险等级、SLA 和督办节点写入规则本体 | 工单创建、反馈、复查、闭环时间 | 按时/超期、超期时长 |
第四部分:DeepDive 场景与未知风险发掘方向
二期方案已经以主机未知风险为切入点,但还可以围绕 DeepDive 场景继续扩展未知风险挖掘。DeepDive 的核心不是单条日志异常,而是基于图谱多跳关系、时序链路、权限关系和历史案例发现“规则库尚未覆盖的组合型风险”。
| DeepDive 场景 | 可发掘的未知风险 | 关键数据 | 本体/图谱分析方式 |
|---|---|---|---|
| 多跳隐藏关联 | 单个操作正常,但账号、资产、跳板链路组合后异常 | 4A、主机日志、云桌面、跳板机、CMDB | 用户-账号-主机-IP-工单多跳路径,发现异常组合路径 |
| 日志链路断裂 | 操作链中关键日志缺失,疑似绕过审计或日志被删除 | 主机审计日志、堡垒机会话、文件完整性事件 | 比对期望链路与实际链路,识别断点和责任资产 |
| 权限漂移 | 账号权限、角色、岗位、操作对象不再匹配 | 4A 角色、权限授权、组织机构、操作日志 | 账号-角色-资产-操作关系与岗位/责任关系交叉校验 |
| 绕行 4A 变种 | 非堡垒机来源、跳登、程序账号借用、白名单滥用 | 主机 Syslog、4A 登录、堡垒机 IP、白名单 | 源 IP、登录路径、账号类型、白名单有效期联合判断 |
| 涉敏访问异常 | 有操作日志但缺少金库审批、审批和实际访问不一致 | 涉敏表、金库审批、数据库操作、应用日志 | 敏感数据-审批-操作-账号四元关系校验 |
| 跨域资产暴露 | 资产在 CMDB、暴露面、负载、防火墙策略中状态不一致 | CMDB、互联网暴露面、负载、防火墙策略 | 资产多源画像比对,发现未报备、未纳管、异常开放 |
| 工单反馈异常 | 工单显示已整改,但相同风险重复出现或证据不足 | BOMC 工单、复查日志、历史告警 | 风险-工单-反馈-复查闭环对比,发现虚假闭环 |
| 基线/漏洞反复出现 | 整改后同类漏洞复现,说明修复不彻底或引入新问题 | 漏洞扫描、基线、弱口令、变更记录 | 风险前后状态和资产变更关系对比,识别残余风险 |
第五部分:产出物与验收标准
验收应参考二期方案倒数第二页“预期价值&评审结论”和投资估算页。未知风险不再单独写“量化建议”,而是转为“未知风险挖掘应该如何验收”:既要承接方案中“未知风险识别数量月均≥10条”的价值目标,也要保证规则真实可用、可解释、可复查、可入库。
1. 四大板块产出物与验收标准
| 板块 | 产出物 | 验收标准 | 关键证据 |
|---|---|---|---|
| 未知风险挖掘 | DeepLog 模型、日志模板库、DeepDive 场景库、候选规则库、有效规则库、规则自进化记录 | 能从日志和图谱中输出异常序列、关联证据和候选规则;规则经人工确认后可执行;试运行期未知风险识别数量月均≥10条 | 模型训练报告、异常样例、DeepDive 证据链、候选规则 JSON、人工确认单 |
| 风险识别与处置 | 风险识别代码、规则执行框架、风险事件列表、BOMC 工单接口 | 新规则与一期规则可执行;风险事件结构化;BOMC 建单、通知、回写联通 | 沙箱运行日志、风险详情页、接口联调报告、工单样例 |
| 风险督办 | 工单合规性研判规则库、复查 Skill、7/14 天分级督办流程 | 能识别不合规反馈;超期自动升级;完成整改后图谱动作链终止 | 稽核结论、重派工单、问题单/考核单、图谱状态截图 |
| 效果评估 | 效果评估规则库、整改证据包、评估报告、评估案例知识库 | 能按彻底性、副作用、合规性、时效性输出结构化评估;不彻底可触发后续工单 | 证据包、评估结果、RAG 检索记录、报告样例 |
2. 未知风险挖掘应该如何验收
未知风险挖掘不建议只用文字罗列验收项,而应按项目交付链路验收:先看场景是否能复现,再看模型是否有输出,再看规则是否能执行,最后看是否真正进入图谱和规则库。
只统计人工确认有效且实际识别到风险的未知风险,不把重复告警、误报和未确认候选规则计入。
同时记录候选规则采纳率、误报率、规则复用次数和自进化次数,避免只追求生成数量。
每条有效未知风险都要能追溯异常序列、候选规则、执行结果、证据链和图谱沉淀记录。
覆盖主机未知风险,并可扩展 DeepDive 场景,不依赖单一静态样例。
DeepLog 输出异常序列、异常分、日志模板和触发依据。
候选规则包含条件、范围、等级、置信度、证据字段和处置建议。
规则上线前保留审核、驳回原因、版本记录和优化意见。
有效规则能在沙箱读取样例日志并跑出可复查风险结果。
异常日志、有效规则、风险事件和处置动作均写入风险图谱。
能够更换日志、资产或时间窗口复跑;输出的规则经过人工确认后可执行;识别结果能关联证据链、风险事件、工单动作和图谱记录。
只有大模型解释、没有 DeepLog 模型输出;规则停留在自然语言描述;AI 生成规则未经审核直接处置;结果只保存在离线文档或临时表。
第六部分:六大智能体建设
| 智能体 | 接入数据 | 输入类型 | 核心功能 | 输出 |
|---|---|---|---|---|
| 图谱自动构建智能体 | 资产清单、4A、CMDB、ARP、BOMC、业务表元数据、OWL 文件 | 结构化表、元数据、本体文件 | 解析本体与表结构,生成顶点/边映射和 Cypher,调用图谱写入插件 | 基础图谱、风险图谱 Schema、节点边写入结果、对账报告 |
| 未知风险规则智能体 | DeepLog 异常序列、标准日志、基础图谱、历史规则、未采纳规则库 | 日志序列、异常分、图谱上下文、规则样例 | 生成候选规则,解释风险诱因,进行规则泛化、细化、合并、淘汰 | 候选规则、规则解释、处置建议、规则自进化记录 |
| 代码生成智能体 | 候选规则 JSON、日志样例、字段映射、沙箱 SDK 知识库 | 规则、脚本需求、日志数据、报错日志 | 将规则转为可执行识别代码,沙箱运行,错误诊断和自动修复 | 风险识别代码、执行结果、测试日志、修复版本 |
| 风险督办智能体 | BOMC 工单、反馈附件、风险事件、责任映射、SLA 规则 | 工单文本、附件、时间状态、图谱路径 | 工单合规性稽核,复查整改情况,触发 7/14 天升级动作 | 合规结论、重派工单、问题单、考核单、督办状态 |
| 效果评估智能体 | 整改前后日志、工单反馈、审批材料、历史案例知识库、风险图谱 | 证据包、风险链路、案例检索结果 | 按彻底性、副作用、合规性、时效性自动评估整改效果 | 评估结论、残余风险、后续动作、评估报告 |
| 运营分析报告智能体 | 基础图谱、风险图谱、规则库、工单状态、效果评估结果 | 结构化统计、图谱查询结果、模板 | 面向不同角色生成日报、周报、月报、专题报告,支持下钻 | Word/Excel/HTML 报告、可视化图表、角色化摘要 |
第七部分:一期规则回顾
一期/前期 SDC 已沉淀的规则模型是二期规则本体纳管的基础。二期方案第 16 页按“31 类规则模型”承诺纳入规则本体;公开版按功能域归并展示。
| 规则类别 | 代表模型 | 实现功能 | 主要接入数据 |
|---|---|---|---|
| 反诈保障类 | 一证五号、一证十卡、涉诈号码停机、白名单用户停机、入网频次合规 | 校验号卡入网、停复机、白名单保护和反诈状态一致性 | CRM/业务受理数据、反诈平台清单、用户状态、接口调用日志 |
| 数据安全/4A审计类 | 违规登录实时预警、违规敏感操作识别、4A 日志脱敏、4A 实名认证、涉敏模块绕行、涉敏表未触发金库 | 识别绕行、敏感操作、日志明文、实名不一致、金库审批缺失 | 4A 日志、主机/网络/安全设备日志、涉敏清单、金库审批、应用操作日志 |
| 终端安全类 | 终端账号异常登录、异常终端识别、管控安全软件安装稽核 | 识别长期未登录/未下线、异常入网、终端安全软件缺失 | 终端准入日志、桌面云日志、终端资产、管控软件资产 |
| 绕行监测类 | 日志采集完整性、未被 4A 纳管设备、违规绕行、跳登审计、应用操作绕行、高敏账号绕行 | 还原桌面云、4A、跳板机、主机操作链路,发现绕行 4A 或金库 | CMDB、4A 资产、主机 Syslog、云桌面日志、堡垒机会话、应用操作日志 |
| 安全合规类 | 合规作业执行、防火墙策略合规、通用安全作业工单稽核、互联网暴露面资产稽核 | 稽核漏洞/基线/弱口令扫描、策略合规、工单完成、互联网暴露面变更 | 扫描报告、漏洞库、基线结果、防火墙配置、BOMC 工单、暴露面清单 |
| 网络安全运营类 | 态势安全告警、恶意文件检测上报、DS 客户端故障主机 | 处理高危告警、恶意文件拨测、主机防护组件离线或故障 | 态势告警、安全设备日志、主机拨测、DS Syslog |
第八部分:二期数据范围
二期数据范围改为“数据域 + 本体对象 + 主要用途”的展现方式,突出哪些数据进入基础图谱,哪些数据进入风险图谱,哪些数据支撑未知风险挖掘和效果评估。
数据范围建议按“数据域 + 本体对象 + 支撑能力”展示,而不是只列内部表名。HTML 版已将 8 类数据渲染为数据域卡片,便于评审快速判断哪些数据进入基础图谱,哪些数据进入风险图谱,哪些数据支撑未知风险挖掘和效果评估。
主机、账号、登录、操作、日志模板,支撑 DeepLog 建模、绕行识别和链路复查。
网络设备、IP、端口、策略、登录行为,支撑跨域暴露、异常登录和策略风险识别。
安全设备、告警、威胁、事件、证据,支撑威胁发现、攻击链分析和处置证据沉淀。
用户、组织、权限、资产、工单、责任对象,支撑基础图谱、督办和处置回写。
敏感数据、审批、涉敏人员、数据资产,支撑涉敏访问异常、金库绕行和效果评估。
漏洞、弱口令、基线、整改动作,支撑合规稽核、整改复查和残余风险评估。
应用、接口、账号、操作、业务对象,支撑应用绕行 4A、接口异常和涉敏模块审计。
情报、外部事件、关联资产、风险标签,支撑 DeepDive 扩展研判和运营报告生成。
| 数据域 | 典型数据 | 主要本体对象 | 支撑能力 |
|---|---|---|---|
| 主机/服务器日志 | 虚拟机、PC 服务器、存储平台、桌面云宿主机、数据库一体机、虚拟化资源池 | 主机、账号、登录、操作、日志模板 | DeepLog 建模、绕行识别、日志链路复查 |
| 网络设备日志 | 交换机、路由器、防火墙、负载均衡登录/操作日志 | 网络设备、IP、端口、策略、登录行为 | 跨域资产暴露、异常登录、策略风险 |
| 安全设备日志 | 防绕行、终端准入、DNS、IPS、WAF、DDoS、防护/蜜罐等 | 安全设备、告警、威胁、事件、证据 | 威胁发现、攻击链分析、处置证据 |
| 业务平台数据 | 4A、CMDB、BOMC、组织机构、账号权限、堡垒机、工单 | 用户、组织、权限、资产、工单、责任对象 | 基础图谱、督办、处置回写 |
| 安全管控日志 | 分类分级、涉敏资产、AI 分类分级、金库场景 | 敏感数据、审批、涉敏人员、数据资产 | 涉敏访问异常、金库绕行、效果评估 |
| 安全合规日志 | 系统漏洞、应用漏洞、弱口令、基线扫描 | 漏洞、弱口令、基线、整改动作 | 合规稽核、整改复查、残余风险评估 |
| 应用操作日志 | 用户登录、接口调用、应用系统操作 | 应用、接口、账号、操作、业务对象 | 应用绕行 4A、接口异常、涉敏模块审计 |
| 第三方及其他安全日志 | 第三方平台、外部威胁情报、补充安全运营日志 | 情报、外部事件、关联资产、风险标签 | DeepDive 扩展研判、运营报告 |