Phase II · Ontology Governance · Security Review

山西移动 AI+安全本体运营管控项目二期方案评审

围绕业务分工、四大能力本体实现、DeepDive 未知风险发掘、验收标准、六大智能体、一期规则和二期数据范围的方案评审页。

评审重点 本体驱动的风险闭环

把业务分工、数据范围、智能体能力和验收标准放在同一张方案图里,便于内部评审和跨部门对齐。

安全本体统一对象、关系、规则与证据
知识图谱沉淀资产、风险与处置链路
AI Agent规则、代码、督办、评估协同
风险闭环发现、处置、督办、评估回写
业务前置 六类安全业务分工

先明确数据、规则、处置标准和验收责任,再推进本体建模。

能力闭环 四大板块贯通

未知风险挖掘、识别处置、风险督办、效果评估形成闭环。

智能体 六大 Agent 建设

图谱构建、规则生成、代码生成、督办、评估、运营报告协同。

数据底座 八类数据域接入

主机、网络、安全设备、业务平台、合规、应用等数据支撑图谱。

Full Content

山西移动 AI+安全本体运营管控项目二期方案评审

山西移动 AI+安全本体运营管控项目二期方案评审

本页围绕二期建设方案重新梳理,重点回答:安全业务部门如何分工、四大能力如何基于本体实现、未知风险挖掘如何验收、六大智能体如何建设、一期规则如何回顾、二期数据范围如何承载本体与图谱。

第一部分:安全业务部门分工

二期方案建议把业务分工前置,因为本体建模不是纯技术建模,必须先明确哪些部门提供数据、规则、处置标准和验收依据。公开版使用脱敏负责人标识,完整负责人以本地《安全业务部门分工.xlsx》为准。

业务板块面向的日常数据脱敏负责人日常工作内容
网络安全与监测安全设备日志、态势告警、威胁情报、互联网暴露面、巡检和渗透测试结果负责人 A安全巡检、特征库更新、策略优化、态势监测、重大活动保障、威胁处置
安全审计4A 操作日志、审计策略、分级审计报告、账号审阅清单、日志稽核记录负责人 B审计计划、策略更新、日常/专项审计、日志完整性稽核、审计问题跟踪
数据安全涉敏系统、涉敏人员、涉敏场景、分类分级、对外接口、数据提供评审材料负责人 C数据安全评估、涉敏梳理、分类分级管理、对外接口管理、应急演练和培训
合规漏洞扫描、基线检查、弱口令、互联网暴露面、APP/代码审计、安全评估负责人 D漏洞检查、基线和弱口令检查、暴露面报备、代码审计、风险排查
4A 管理账号生命周期、账号创建/变更/注销、口令、权限、认证授权、账号审计负责人 E账号全生命周期管理、实名稽核、权限管控、账号清理、合作方账号管理
终端安全生产终端、办公终端、终端安全软件、准入控制、上网行为、终端安全事件负责人 F终端安全软件安装升级、病毒库更新、终端事件处置、准入和上网行为管控

第二部分:核心结论与四大能力流程图

二期方案已体现四大能力:未知风险挖掘、风险识别与处置、风险督办、效果评估。需要进一步细化的是:每一块不是孤立功能,而是由安全本体定义“对象、关系、规则、动作、证据”,由知识图谱承载运行状态,由智能体和 Skills 执行业务闭环。

四大能力闭环:日志与数据输入先进入安全本体和基础数据图谱,未知风险挖掘输出候选规则;候选规则经人工确认和代码生成后进入风险识别与处置;风险事件触发 BOMC 工单和处置动作;工单反馈进入风险督办;整改完成后进入效果评估,评估结果反向沉淀到风险规则库、案例库和图谱中,形成持续进化闭环。

01 · Detect 未知风险挖掘

日志本体统一字段、来源和行为序列,DeepLog 与 DeepDive 在图谱上下文中发现候选风险规则。

02 · Execute 风险识别与处置

规则本体约束条件、阈值、等级和动作,代码生成智能体将确认规则转为可执行识别逻辑。

03 · Supervise 风险督办

工单反馈、SLA、升级对象和动作终止条件进入督办本体,驱动合规稽核和分级升级。

04 · Evaluate 效果评估

整改前后证据、残余风险、副作用、合规材料和时效要求回写图谱,沉淀为评估知识。

本体层:资产 · 行为 · 规则 · 日志 · 风险 · 工单 · 证据 · 评估 → 图谱层:基础数据知识图谱 + 风险数据知识图谱 → 能力层:智能体 + Skills + 工作流

四大能力是否体现及本体实现落点

四大能力方案是否体现本体具体实现图谱/智能体落点
未知风险挖掘已体现,二期方案第 22-26 页围绕 DeepLog、未知风险规则智能体、代码生成智能体展开日志本体统一原始日志、模板、字段、时间、来源;行为本体定义账号、资产、操作序列;规则本体定义候选规则结构、置信度、适用范围、风险等级和动作建议DeepLog 输出异常序列;未知风险规则智能体结合图谱上下文生成规则;人工确认后写入风险规则库和风险数据图谱
风险识别与处置已体现,二期方案第 27 页明确“新旧规则执行、生成风险内容、对接 BOMC”风险本体定义风险事件、风险等级、命中规则、证据日志;动作本体定义告警、派单、阻断、通知、写图谱代码生成智能体把规则转为可执行逻辑;风险识别结果写入风险图谱;BOMC 工单与处置动作形成链路
风险督办已体现,二期方案第 28 页明确工单合规性稽核、7/14 天督办、图谱动作链终止工单反馈本体定义附件、说明材料、反馈时限、合规结论;督办本体定义 SLA、升级对象、问题单、考核单、动作终止条件风险督办智能体读取工单反馈和图谱风险状态,执行合规稽核、复查、升级通知、问题单/考核单生成
效果评估已体现,二期方案第 29 页明确彻底性、副作用、合规性、时效性评估评估本体定义整改前证据、整改动作、整改后证据、残余风险、副作用、合规材料和时效要求效果评估智能体结合 RAG 案例库和风险图谱输出结构化评估,并把评估结果回写风险图谱

第三部分:四大板块实现方案

IMPLEMENTATION FLOW 四大板块从数据接入到治理闭环的实现链路

这一部分不再只看单个能力,而是把二期的本体、图谱、智能体、代码执行、BOMC 工单和效果评估串成一条可落地的业务技术流程。

01 数据接入与标准化

接入主机、网络、安全设备、4A、BOMC、合规和应用操作日志,完成字段口径、日志模板和实体抽取。

02 本体建模与映射

将资产、账号、行为、规则、风险、工单、证据、评估对象统一到安全本体和规则本体中。

03 图谱沉淀与推理

形成基础数据知识图谱和风险数据知识图谱,支持多跳关联、路径追踪和 DeepDive 场景分析。

04 智能体执行

由规则智能体、代码生成智能体、督办智能体和评估智能体分别完成规则生成、识别、督办和评估。

05 闭环回写与进化

风险事件、工单反馈、复查证据和评估结果回写图谱,沉淀为规则库、案例库和运营报告。

未知风险挖掘
  • DeepLog 发现异常序列
  • DeepDive 补全图谱证据链
  • 候选规则经人工确认入库
风险识别与处置
  • 规则转为可执行识别代码
  • 沙箱运行并自动修复报错
  • 生成风险事件与 BOMC 工单
风险督办
  • 读取工单反馈和风险状态
  • 稽核附件、说明和整改时限
  • 按 7/14 天规则分级升级
效果评估
  • 对比整改前后证据
  • 判断彻底性、副作用、合规性和时效性
  • 残余风险触发后续处置

1. 未知风险挖掘:从异常序列到候选规则

未知风险挖掘是二期首要能力,核心目标是突破一期固定规则库的覆盖边界。实现时不能只让 AI 写规则,而要让 AI 在本体约束下理解日志、资产、账号、行为和风险链路。

实现环节本体如何参与处理方式产出
日志标准化日志本体定义字段口径、日志类型、来源设备、账号、IP、时间、操作和解析状态对主机、网络、安全、4A、应用等日志过滤、清洗、模板化和上下文补全标准日志、日志模板、日志质量报告
正常行为建模行为本体定义“谁在什么时间、从哪里、对什么资产、做了什么动作”DeepLog 对操作序列建模,学习正常路径和上下文序列正常行为基线、异常序列、异常分
DeepDive 关联分析资产、账号、权限、组织、工单、风险关系写入基础图谱对异常点做多跳查询,找隐藏关联、路径断裂、责任对象和相似历史案例DeepDive 证据链、根因线索、风险解释
候选规则生成规则本体约束规则名称、条件、阈值、适用范围、风险等级、处置动作和版本未知风险规则智能体调用规则生成 Skill,输出结构化候选规则候选规则、解释依据、处置建议
人工确认和自进化规则本体记录采纳、驳回、误报、重复、过宽、过窄等状态人工审核后入库;未采纳规则进入优化池,支持合并、拆分、泛化、淘汰有效规则库、规则版本、未采纳原因

2. 风险识别与处置:从规则到告警和工单

风险识别与处置负责把候选规则变成可执行识别逻辑,并把识别结果转为风险事件和处置动作。

实现环节本体如何参与处理方式产出
规则语义解析规则本体把自然语言规则转为字段、条件、关系、阈值、动作代码生成智能体读取规则 JSON 和样例日志,拆解数据预处理、上下文增强、判定逻辑、结果格式化风险识别代码、规则执行计划
沙箱执行动作本体定义代码运行、错误捕获、重试、修复、保存等动作OpenSandbox 隔离运行,失败后调用代码进化 Skill 自动修复运行日志、修复记录、可用代码版本
风险事件生成风险本体定义主体、资产、账号、IP、时间、证据、命中规则、风险等级执行新规则和一期规则,识别风险行为并结构化输出风险事件、告警内容、处置建议
BOMC 处置动作本体定义派单、通知、阻断、回写和审计通过接口创建工单,通知责任对象,处置过程回写风险图谱BOMC 工单、通知记录、风险处置链

3. 风险督办:从工单反馈到分级升级

风险督办解决“派单后是否真实整改”的问题,重点是把移动内部制度要求沉淀为督办规则和工单合规性规则。

实现环节本体如何参与处理方式产出
工单反馈稽核工单本体定义反馈内容、附件、说明材料、反馈时间、合规结论LLM 结合研判规则库识别“附件为空、说明不足、简单回复”等不合规反馈合规/不合规结论、重派建议
整改复查风险本体和证据本体定义复查字段、相同告警、整改后日志、证据完整性调用复查 Skill 查询最新日志、相同风险、处置记录和证据包复查结论、证据包、整改状态
分级督办督办本体定义 7 天、14 天节点、升级对象、问题单、考核单定时任务检查超期风险:7 天生成问题单,14 天生成考核单和升级通知问题单、考核单、升级通知
状态回写图谱关系定义风险、工单、督办、复查、评估之间的动作链合规闭环则终止动作链;未闭环继续督办风险状态、动作链、审计记录

4. 效果评估:从整改证据到治理闭环

效果评估负责判断整改是否真正降低风险,而不是只看工单是否关闭。

评估维度本体如何实现需要的证据输出
彻底性风险本体定义风险是否消失、是否存在残余变种整改前后日志、同类告警、复扫/复查结果彻底/不彻底、残余风险说明
副作用行为和资产关系判断整改是否影响业务、引发新风险变更记录、业务状态、后续告警、异常操作是否引发新问题、影响范围
合规性制度规则抽取为评估规则本体审批、变更窗口、测试报告、附件材料合规/不合规、缺失材料
时效性风险等级、SLA 和督办节点写入规则本体工单创建、反馈、复查、闭环时间按时/超期、超期时长

第四部分:DeepDive 场景与未知风险发掘方向

二期方案已经以主机未知风险为切入点,但还可以围绕 DeepDive 场景继续扩展未知风险挖掘。DeepDive 的核心不是单条日志异常,而是基于图谱多跳关系、时序链路、权限关系和历史案例发现“规则库尚未覆盖的组合型风险”。

DeepDive 场景可发掘的未知风险关键数据本体/图谱分析方式
多跳隐藏关联单个操作正常,但账号、资产、跳板链路组合后异常4A、主机日志、云桌面、跳板机、CMDB用户-账号-主机-IP-工单多跳路径,发现异常组合路径
日志链路断裂操作链中关键日志缺失,疑似绕过审计或日志被删除主机审计日志、堡垒机会话、文件完整性事件比对期望链路与实际链路,识别断点和责任资产
权限漂移账号权限、角色、岗位、操作对象不再匹配4A 角色、权限授权、组织机构、操作日志账号-角色-资产-操作关系与岗位/责任关系交叉校验
绕行 4A 变种非堡垒机来源、跳登、程序账号借用、白名单滥用主机 Syslog、4A 登录、堡垒机 IP、白名单源 IP、登录路径、账号类型、白名单有效期联合判断
涉敏访问异常有操作日志但缺少金库审批、审批和实际访问不一致涉敏表、金库审批、数据库操作、应用日志敏感数据-审批-操作-账号四元关系校验
跨域资产暴露资产在 CMDB、暴露面、负载、防火墙策略中状态不一致CMDB、互联网暴露面、负载、防火墙策略资产多源画像比对,发现未报备、未纳管、异常开放
工单反馈异常工单显示已整改,但相同风险重复出现或证据不足BOMC 工单、复查日志、历史告警风险-工单-反馈-复查闭环对比,发现虚假闭环
基线/漏洞反复出现整改后同类漏洞复现,说明修复不彻底或引入新问题漏洞扫描、基线、弱口令、变更记录风险前后状态和资产变更关系对比,识别残余风险

第五部分:产出物与验收标准

验收应参考二期方案倒数第二页“预期价值&评审结论”和投资估算页。未知风险不再单独写“量化建议”,而是转为“未知风险挖掘应该如何验收”:既要承接方案中“未知风险识别数量月均≥10条”的价值目标,也要保证规则真实可用、可解释、可复查、可入库。

1. 四大板块产出物与验收标准

板块产出物验收标准关键证据
未知风险挖掘DeepLog 模型、日志模板库、DeepDive 场景库、候选规则库、有效规则库、规则自进化记录能从日志和图谱中输出异常序列、关联证据和候选规则;规则经人工确认后可执行;试运行期未知风险识别数量月均≥10条模型训练报告、异常样例、DeepDive 证据链、候选规则 JSON、人工确认单
风险识别与处置风险识别代码、规则执行框架、风险事件列表、BOMC 工单接口新规则与一期规则可执行;风险事件结构化;BOMC 建单、通知、回写联通沙箱运行日志、风险详情页、接口联调报告、工单样例
风险督办工单合规性研判规则库、复查 Skill、7/14 天分级督办流程能识别不合规反馈;超期自动升级;完成整改后图谱动作链终止稽核结论、重派工单、问题单/考核单、图谱状态截图
效果评估效果评估规则库、整改证据包、评估报告、评估案例知识库能按彻底性、副作用、合规性、时效性输出结构化评估;不彻底可触发后续工单证据包、评估结果、RAG 检索记录、报告样例

2. 未知风险挖掘应该如何验收

ACCEPTANCE PATH 从“发现线索”验收到“可执行、可追溯、可复用”

未知风险挖掘不建议只用文字罗列验收项,而应按项目交付链路验收:先看场景是否能复现,再看模型是否有输出,再看规则是否能执行,最后看是否真正进入图谱和规则库。

数量口径 月均≥10条

只统计人工确认有效且实际识别到风险的未知风险,不把重复告警、误报和未确认候选规则计入。

质量口径 采纳率 + 误报率

同时记录候选规则采纳率、误报率、规则复用次数和自进化次数,避免只追求生成数量。

证据口径 模型 + 规则 + 图谱

每条有效未知风险都要能追溯异常序列、候选规则、执行结果、证据链和图谱沉淀记录。

01 场景可复现

覆盖主机未知风险,并可扩展 DeepDive 场景,不依赖单一静态样例。

02 模型有输出

DeepLog 输出异常序列、异常分、日志模板和触发依据。

03 规则结构化

候选规则包含条件、范围、等级、置信度、证据字段和处置建议。

04 人工可确认

规则上线前保留审核、驳回原因、版本记录和优化意见。

05 代码可执行

有效规则能在沙箱读取样例日志并跑出可复查风险结果。

06 图谱可追溯

异常日志、有效规则、风险事件和处置动作均写入风险图谱。

通过判断

能够更换日志、资产或时间窗口复跑;输出的规则经过人工确认后可执行;识别结果能关联证据链、风险事件、工单动作和图谱记录。

不通过红线

只有大模型解释、没有 DeepLog 模型输出;规则停留在自然语言描述;AI 生成规则未经审核直接处置;结果只保存在离线文档或临时表。

第六部分:六大智能体建设

智能体接入数据输入类型核心功能输出
图谱自动构建智能体资产清单、4A、CMDB、ARP、BOMC、业务表元数据、OWL 文件结构化表、元数据、本体文件解析本体与表结构,生成顶点/边映射和 Cypher,调用图谱写入插件基础图谱、风险图谱 Schema、节点边写入结果、对账报告
未知风险规则智能体DeepLog 异常序列、标准日志、基础图谱、历史规则、未采纳规则库日志序列、异常分、图谱上下文、规则样例生成候选规则,解释风险诱因,进行规则泛化、细化、合并、淘汰候选规则、规则解释、处置建议、规则自进化记录
代码生成智能体候选规则 JSON、日志样例、字段映射、沙箱 SDK 知识库规则、脚本需求、日志数据、报错日志将规则转为可执行识别代码,沙箱运行,错误诊断和自动修复风险识别代码、执行结果、测试日志、修复版本
风险督办智能体BOMC 工单、反馈附件、风险事件、责任映射、SLA 规则工单文本、附件、时间状态、图谱路径工单合规性稽核,复查整改情况,触发 7/14 天升级动作合规结论、重派工单、问题单、考核单、督办状态
效果评估智能体整改前后日志、工单反馈、审批材料、历史案例知识库、风险图谱证据包、风险链路、案例检索结果按彻底性、副作用、合规性、时效性自动评估整改效果评估结论、残余风险、后续动作、评估报告
运营分析报告智能体基础图谱、风险图谱、规则库、工单状态、效果评估结果结构化统计、图谱查询结果、模板面向不同角色生成日报、周报、月报、专题报告,支持下钻Word/Excel/HTML 报告、可视化图表、角色化摘要

第七部分:一期规则回顾

一期/前期 SDC 已沉淀的规则模型是二期规则本体纳管的基础。二期方案第 16 页按“31 类规则模型”承诺纳入规则本体;公开版按功能域归并展示。

规则类别代表模型实现功能主要接入数据
反诈保障类一证五号、一证十卡、涉诈号码停机、白名单用户停机、入网频次合规校验号卡入网、停复机、白名单保护和反诈状态一致性CRM/业务受理数据、反诈平台清单、用户状态、接口调用日志
数据安全/4A审计类违规登录实时预警、违规敏感操作识别、4A 日志脱敏、4A 实名认证、涉敏模块绕行、涉敏表未触发金库识别绕行、敏感操作、日志明文、实名不一致、金库审批缺失4A 日志、主机/网络/安全设备日志、涉敏清单、金库审批、应用操作日志
终端安全类终端账号异常登录、异常终端识别、管控安全软件安装稽核识别长期未登录/未下线、异常入网、终端安全软件缺失终端准入日志、桌面云日志、终端资产、管控软件资产
绕行监测类日志采集完整性、未被 4A 纳管设备、违规绕行、跳登审计、应用操作绕行、高敏账号绕行还原桌面云、4A、跳板机、主机操作链路,发现绕行 4A 或金库CMDB、4A 资产、主机 Syslog、云桌面日志、堡垒机会话、应用操作日志
安全合规类合规作业执行、防火墙策略合规、通用安全作业工单稽核、互联网暴露面资产稽核稽核漏洞/基线/弱口令扫描、策略合规、工单完成、互联网暴露面变更扫描报告、漏洞库、基线结果、防火墙配置、BOMC 工单、暴露面清单
网络安全运营类态势安全告警、恶意文件检测上报、DS 客户端故障主机处理高危告警、恶意文件拨测、主机防护组件离线或故障态势告警、安全设备日志、主机拨测、DS Syslog

第八部分:二期数据范围

二期数据范围改为“数据域 + 本体对象 + 主要用途”的展现方式,突出哪些数据进入基础图谱,哪些数据进入风险图谱,哪些数据支撑未知风险挖掘和效果评估。

数据范围建议按“数据域 + 本体对象 + 支撑能力”展示,而不是只列内部表名。HTML 版已将 8 类数据渲染为数据域卡片,便于评审快速判断哪些数据进入基础图谱,哪些数据进入风险图谱,哪些数据支撑未知风险挖掘和效果评估。

01主机/服务器日志

主机、账号、登录、操作、日志模板,支撑 DeepLog 建模、绕行识别和链路复查。

02网络设备日志

网络设备、IP、端口、策略、登录行为,支撑跨域暴露、异常登录和策略风险识别。

03安全设备日志

安全设备、告警、威胁、事件、证据,支撑威胁发现、攻击链分析和处置证据沉淀。

04业务平台数据

用户、组织、权限、资产、工单、责任对象,支撑基础图谱、督办和处置回写。

05安全管控日志

敏感数据、审批、涉敏人员、数据资产,支撑涉敏访问异常、金库绕行和效果评估。

06安全合规日志

漏洞、弱口令、基线、整改动作,支撑合规稽核、整改复查和残余风险评估。

07应用操作日志

应用、接口、账号、操作、业务对象,支撑应用绕行 4A、接口异常和涉敏模块审计。

08第三方及其他日志

情报、外部事件、关联资产、风险标签,支撑 DeepDive 扩展研判和运营报告生成。

数据域典型数据主要本体对象支撑能力
主机/服务器日志虚拟机、PC 服务器、存储平台、桌面云宿主机、数据库一体机、虚拟化资源池主机、账号、登录、操作、日志模板DeepLog 建模、绕行识别、日志链路复查
网络设备日志交换机、路由器、防火墙、负载均衡登录/操作日志网络设备、IP、端口、策略、登录行为跨域资产暴露、异常登录、策略风险
安全设备日志防绕行、终端准入、DNS、IPS、WAF、DDoS、防护/蜜罐等安全设备、告警、威胁、事件、证据威胁发现、攻击链分析、处置证据
业务平台数据4A、CMDB、BOMC、组织机构、账号权限、堡垒机、工单用户、组织、权限、资产、工单、责任对象基础图谱、督办、处置回写
安全管控日志分类分级、涉敏资产、AI 分类分级、金库场景敏感数据、审批、涉敏人员、数据资产涉敏访问异常、金库绕行、效果评估
安全合规日志系统漏洞、应用漏洞、弱口令、基线扫描漏洞、弱口令、基线、整改动作合规稽核、整改复查、残余风险评估
应用操作日志用户登录、接口调用、应用系统操作应用、接口、账号、操作、业务对象应用绕行 4A、接口异常、涉敏模块审计
第三方及其他安全日志第三方平台、外部威胁情报、补充安全运营日志情报、外部事件、关联资产、风险标签DeepDive 扩展研判、运营报告