Cloudflare Pages + Functions + D1
静态 HTML 由 Pages 托管;反馈表单提交到 Pages Functions;意见记录写入 D1 数据库。
Pages 文档Review HTML · Feedback · Publishing
效果评估页已重构为本体调用、风险路由复核和闭环动作
生成目录、全文阅读、反馈侧栏和公网发布说明。
Public Review
静态 HTML 由 Pages 托管;反馈表单提交到 Pages Functions;意见记录写入 D1 数据库。
Pages 文档只读评审可直接托管单文件 HTML;反馈先用本地导出 JSON/CSV 汇总。
Vercel 文档页面会自动尝试连接 /api/feedback。API 不存在时回退到浏览器本地保存。
内部资料建议脱敏后发布,或放在企业 SSO、Cloudflare Access、内网网关后。
Access 文档Full Content
> 来源材料:2026年山西公司AI+安全本体运营管控项目建设方案汇报0610.pptx。本文将 37 页立项方案重构为可检索、可评论、可发布的 HTML 评审版,用于团队共同编著、核对和收敛修改意见。
| 维度 | 当前口径 | 团队核对点 |
|---|---|---|
| 项目名称 | 2026年山西公司AI+安全本体运营管控项目 | 名称是否与立项系统、预算系统完全一致 |
| 立项部门 | 数智化部 | 是否需要补充安全运营、网络安全、业务系统责任部门 |
| 项目类型 | 计划内、扩容系统、大数据系统 | “扩容系统”与新增组件、AI智能体、图数据库部署之间的边界需确认 |
| 建设周期 | 项目满足期 12 个月,预计 2026年X月上线 | 需要补全具体上线月份和关键里程碑 |
| 投资预算 | 287.3万元,不含税 | 3380人天 × 850元/人天 = 287.3万元,需核对取费依据 |
| 建设主线 | 数据标准化、本体建模、知识图谱、智能体、风险闭环、运营报告 | 是否覆盖当前安全数据中心能力复用边界 |
| 预期价值 | 未知风险识别月均不少于10条,报表和统计工作量降低65%以上 | 指标口径、采集方式、验收方式需明确 |
把散落在日志、资产、账号、工单、规则和专家经验里的安全运营知识,沉淀为“安全本体 + 知识图谱 + AI智能体”的统一底座,让系统从只会按固定规则告警,升级为能够学习日志、生成规则、识别风险、派发处置、持续督办、评估整改并自动产出运营报告的闭环管控平台。
| 痛点 | 现在的典型表现 | 本项目要改变什么 |
|---|---|---|
| AI不懂业务 | 通用AI可以总结、问答、写材料,但难以理解企业安全运营的实体、关系、规则和动作 | 用本体把“是什么、怎么连、如何判断、触发什么动作”结构化 |
| 风险识别依赖固化规则 | 已知规则能识别,未知风险主要靠事后人工研判 | 引入离群点检测、规则生成智能体和人工审核机制,补齐未知风险发现 |
| 风险覆盖不全 | 单条日志孤立分析,跨账号、IP、设备、工单链路难关联 | 通过基础数据图谱和风险数据图谱做多跳关联和链路还原 |
| 攻击链路难还原 | 根因定位和隐藏关联分析依赖经验,耗时长 | 用图谱把用户、资产、日志、规则、风险、行动串成可追溯链路 |
| 运营闭环弱 | 发现、派单、督办、复查、评估分散在多个流程里 | 打通BOMC、工单稽核、分级督办、效果评估和规则优化 |
| 环节 | 输入 | 智能能力 | 输出 |
|---|---|---|---|
| 日志学习 | 主机、应用、安全管控、安全合规等日志 | 数据过滤、解析、字段口径对齐、模板映射 | 高质量标准化日志 |
| 规则挖掘 | 标准化日志、异常序列、图谱上下文 | DeepLog离群点检测、大模型推理、规则生成Skills | 候选风险规则、处置建议 |
| 人工确认 | 候选规则、样例数据、规则解释 | 规则审核、冲突检测、置信度重评 | 可入库风险规则 |
| 风险识别 | 已知规则、新规则、实时或批量日志 | 规则代码执行、图谱推理、风险策略引擎 | 风险事件、风险详情、处置建议 |
| 行动处置 | 风险事件、责任人、处置策略 | BOMC工单接口、短信通知、处置状态回写 | 处置工单、预警通知、图谱状态更新 |
| 智能督办 | 工单反馈、风险时限、证据材料 | AI工单合规性稽核、7天/14天分级督办 | 合规结论、整改工单、问题单、考核单 |
| 效果评估 | 整改前后证据、历史案例、图谱链路 | 查询效果评估本体,按风险类型路由复核接口、证据包和例外规则 | 整改彻底性、复发性、合规性、时效性和后续动作结论 |
| 报告生成 | 基础图谱、风险图谱、运营指标 | Agent调度数据查询、统计、研判、生成、可视化渲染Skill | 多角色安全运营报告 |
| 层级 | 主要建设内容 | 关键产物 | 审阅焦点 |
|---|---|---|---|
| 数据层 | 接入和标准化8类日志数据,实施过滤、解析、字段口径对齐 | 标准化日志、调度任务、数据质量规则 | 8类数据与现有9大类69小类安全数据之间的映射关系 |
| 知识层 | 部署Protégé做本体建模,部署TuGraph构建知识图谱,开发数据查询、图谱查询、图谱写入插件 | OWL本体、基础数据图谱、风险数据图谱、TuGraph知识库 | 本体类、属性、关系、规则、动作是否完整可落库 |
| 能力层 | 构建未知风险规则挖掘、风险识别与处置、智能督办、效果评估、报告生成能力 | DeepLog模型、6类智能体、7类Skills、规则库、处置链路 | 模型准确率、误报处置、人工确认边界、BOMC接口可行性 |
| 应用层 | 构建安全风险视图、规则审核、工单稽核工作台、效果评估管理、运营报告生成 | 运营门户、审核页面、稽核工作台、报告模板 | 多角色权限、流程可用性、审计留痕、上线验收指标 |
| 模块 | 含义 | 示例 |
|---|---|---|
| 实体模型 | 安全运营中的对象 | 用户、主机、日志、风险、工单、规则 |
| 属性模块 | 实体自身信息 | 账号状态、资源名称、操作时间、风险等级 |
| 关系模块 | 实体之间如何连接 | 用户操作主机、主机产生日志、日志触发风险、风险触发行动 |
| 规则模块 | 判断条件和约束 | 绕行4A、频繁跳转、涉敏模块异常操作等 |
| 动作模块 | 满足条件后的自动行为 | 发工单、短信通知、阻断、督办、效果评估 |
| 图谱 | 定位 | 输入 | 输出价值 |
|---|---|---|---|
| 基础数据知识图谱 | 低频变更的稳定知识底座 | 主机、用户、网络设备、安全设备、CMDB、4A等结构化清单 | 沉淀资产、账号、组织、系统、设备之间的稳定关系 |
| 风险数据知识图谱 | 高频变化的动态感知层 | 日志、告警、风险、处置、督办、误报、评估记录 | 串联风险发生、处置、反馈、优化和评估全过程 |
| 类型 | 内容 |
|---|---|
| 7类核心实体 | 风险日志、风险事件、处置行动、误报反馈、检测规则、风险督办、效果评估 |
| 关键关系 | 日志生成风险、规则匹配风险、风险触发行动、风险创建督办、风险关联评估、误报驱动规则优化 |
| 需要核对 | 是否还要补充责任人、组织、系统、审批单、变更单、证据包、考核单等实体 |
| 能力 | 设计口径 | 需要补证据 |
|---|---|---|
| 离群点检测模型 | 将不同类型日志聚类映射成标准模板,采用DeepLog通过滑动窗口预判下一步操作,发现偏离正常模式的序列 | 训练数据范围、标注样本、准确率、召回率、误报率、GPU训练频率 |
| 规则生成智能体 | 基于异常特征、安全本体和图谱关联上下文,生成结构化候选风险规则 | 候选规则格式、审核流程、规则冲突检测、版本管理 |
| 规则自进化 | 对未采纳规则按原因分类,通过泛化、细化、合并、拆分、淘汰持续迭代 | 未采纳规则池治理机制、人工反馈闭环、置信度阈值 |
| 代码生成智能体 | 将规则JSON转成识别逻辑,生成代码并在OpenSandbox中运行,错误由代码进化Skills修复 | 沙箱权限、依赖白名单、代码审计、异常退出和人工接管机制 |
| 场景 | 关键动作 | 需要核对 |
|---|---|---|
| 风险识别 | 执行规则代码,生成风险内容和处置建议 | 规则运行频率、实时/离线边界、风险等级标准 |
| 风险处置 | 通过接口推送BOMC形成处置工单,并短信通知责任人 | BOMC接口字段、失败重试、责任人匹配逻辑 |
| 工单合规性稽核 | 获取BOMC反馈内容,结合研判规则库判断是否合规 | 必传附件规则、7日反馈规则、简单回复拦截标准 |
| 分级督办 | 7天未整改通知三级经理,14天未整改通知分管领导并生成考核单 | 7/14天是否按自然日或工作日,督办对象和通知渠道 |
| 效果评估 | 基于效果评估本体,按风险类型选择扫描、日志、工单材料等复核方式,并将结果写回图谱、驱动后续动作 | 31个模型归并模板、证据接口、例外审批、人工复核边界 |
| 环节 | 落地口径 | 关键核对点 |
|---|---|---|
| 构建评估本体 | 从制度文档、31个风险模型和既有效果评估指标中抽取风险场景、证据要求、SLA、复核方法、例外规则和评价指标 | RiskScenario、RiskModel、EvidenceRequirement、VerificationActivity、ExceptionCase、EvaluationMetric 等类是否完整 |
| 按风险类型路由复核 | 漏洞/基线/弱口令类调用扫描接口;4A/金库/绕行类查询4A、堡垒机、金库、应用操作日志;无法自动验证类解析工单反馈、附件、审批截图 | 复核接口权限、数据时效、人工复核触发条件 |
| 结果入库与后续动作 | 输出 remediation_score、remediation_detail、evidence_status、recurrence_flag、timeout_flag,并驱动重建工单、退回补充、督办考核或例外审批 | 图谱写回字段、动作触发规则、考核统计口径 |
| 评估案例沉淀 | 沉淀评估结论、证据链、整改过程和后续动作,持续优化复核规则、证据模板和例外处置口径 | 评估案例知识库、规则优化闭环 |
| 角色 | 关注页面/能力 | 审阅任务 |
|---|---|---|
| 项目负责人 | 项目总览、建设清单、投资估算、决策点 | 核对目标、预算、里程碑和验收指标 |
| 安全运营 | 风险视图、规则审核、智能督办、效果评估 | 核对规则口径、处置流程、误报处理和SLA |
| 数据治理 | 数据标准化、本体建模、图谱构建 | 核对数据源、字段、映射、质量和生命周期 |
| 平台架构 | 部署架构、资源需求、复用组件 | 核对高可用、容量、监控、灾备和安全边界 |
| 运维支撑 | BOMC、短信、调度、监控、链路追踪 | 核对接口、告警、变更、回滚和日志审计 |
| 财务采购 | 人天、单价、建设内容、软件工具 | 核对投资依据、资源复用、外采边界和交付物 |
| 组件 | 建议口径 | 源稿资源口径 |
|---|---|---|
| 前端与业务微服务 | Web接入层、Nginx、业务微服务、Nacos注册配置中心 | 3节点,每节点4C、8GB、1024GB存储 |
| Redis缓存集群 | 支撑会话、任务状态、热点数据缓存 | 3节点,每节点16C、32GB、1024GB存储 |
| TuGraph图数据库 | 存储知识图谱,支撑复杂关系遍历查询 | 3节点,每节点16C、64GB、4096GB存储 |
| OpenSandbox沙箱 | 隔离运行AI生成代码,做测试验证 | 3节点,每节点16C、32GB、1024GB存储 |
| GPU服务器 | 训练DeepLog小模型,训练完成后释放部分GPU资源 | 2节点,合计2张GPU,每节点16C、32GB、1024GB存储 |
| 复用组件 | 安全数据中心数据库集群、Kafka、Flink、Qwen3、BGE-Reranker等 | 需确认复用容量和责任边界 |
| 监控体系 | Prometheus、Grafana、链路追踪、告警管理 | 需补充节点规格和告警指标 |
| 向量与对象存储 | Milvus、MinIO、Elasticsearch | 源稿列出组件但部分规格待补齐 |
| 层级 | 功能大类 | 功能子类 | 人天 | 金额(万元) |
|---|---|---|---|---|
| 数据层 | 数据标准化 | 数据接入 | 40 | 3.4 |
| 数据层 | 数据标准化 | 数据清洗 | 60 | 5.1 |
| 数据层 | 定时调度 | 调度任务 | 20 | 1.7 |
| 知识层 | 本体建模 | 多类本体融合建模 | 250 | 21.25 |
| 知识层 | 安全数据知识图谱 | TuGraph环境搭建 | 30 | 2.55 |
| 知识层 | 安全数据知识图谱 | OWL图谱Schema构建 | 250 | 21.25 |
| 知识层 | 安全数据知识图谱 | 图谱数据自动构建 | 330 | 28.05 |
| 能力层 | 未知风险规则挖掘 | 离群点检测模型 | 240 | 20.4 |
| 能力层 | 未知风险规则挖掘 | 智能体与规则管理 | 310 | 26.35 |
| 能力层 | 未知风险规则挖掘 | 代码生成智能体 | 230 | 19.55 |
| 能力层 | 异常风险发现 | 风险识别 | 260 | 22.1 |
| 能力层 | 智能督办 | 工单合规性稽核 | 160 | 13.6 |
| 能力层 | 智能督办 | 未整改风险督办 | 180 | 15.3 |
| 能力层 | 效果评估 | 效果评估 | 290 | 24.65 |
| 能力层 | 运行分析报告 | 报告生成 | 410 | 34.85 |
| 应用层 | 应用层功能 | 交互页面 | 320 | 27.2 |
| 合计 | 全部 | 全部 | 3380 | 287.3 |
| 价值 | 源稿口径 | 建议补充的验收方式 |
|---|---|---|
| 工具沉淀 | 1套本体建模工具 | 明确Protégé部署、权限、版本、模型导出和审计机制 |
| 图谱沉淀 | 2类安全本体知识图谱 | 明确实体数量、关系数量、更新周期、查询性能 |
| 智能体沉淀 | 6个安全场景智能体 | 明确每个智能体的输入、输出、人工确认点、失败兜底 |
| Skills沉淀 | 7类Skills | 明确可复用范围、调用日志、权限控制和版本管理 |
| 算法沉淀 | 1个DeepLog离群点检测模型 | 明确训练集、测试集、检测准确率、误报率和漂移监控 |
| 知识库沉淀 | 3类知识库 | 明确知识来源、更新机制、审核机制 |
| 风险发现 | 未知风险识别月均不少于10条 | 明确“有效未知风险”的定义和复核方式 |
| 效率提升 | 人工报表编制、数据统计工作量降低65%以上 | 明确基线工时、统计周期和抽样方法 |
| 项目 | 建议处理方式 |
|---|---|
| 主机名、IP、账号、手机号、日志样例 | 公网发布前替换为模拟数据或隐藏关键字段 |
| 安全架构、对接系统、资源规格 | 如必须公开,建议使用概括表达;内部评审版放在访问控制后 |
| 投资预算和人天 | 根据发布对象决定是否保留,外部公开版建议只保留比例或范围 |
| BOMC接口、短信触达、督办链路 | 避免暴露接口字段、责任人、组织层级和操作细节 |
| 模型、插件、沙箱、权限说明 | 保留建设方向,隐藏安全策略、白名单、运行目录等实现细节 |
| 反馈数据 | 公网共享反馈建议接Cloudflare D1,并配置访问控制、审计和导出机制 |
是否同意“2026年山西公司AI+安全本体运营管控项目”建设,投资预算287.3万元(不含税),按照数据层、知识层、能力层、应用层四层方案启动实施,并以未知风险识别、风险闭环处置、智能督办、效果评估和安全运营报告自动生成为主要验收方向。
| 页码 | 标题 | 核对说明 |
|---|---|---|
| 1 | 2026年山西公司AI+安全本体运营管控项目 | 封面/结尾 |
| 2 | 目录 | 章节分隔页 |
| 3 | 项目概况 | 需核对正文口径 |
| 4 | 目录 | 章节分隔页 |
| 5 | 项目背景 | 需核对正文口径 |
| 6 | 目录 | 章节分隔页 |
| 7 | 现状与痛点分析 | 需核对正文口径 |
| 8 | 目录 | 章节分隔页 |
| 9 | 安全运营体系蓝图 | 需核对正文口径 |
| 10 | 目录 | 章节分隔页 |
| 11 | 总体支撑架构 | 需核对正文口径 |
| 12 | 知识层|本体建模-总体概览 | 需核对正文口径 |
| 13 | 知识层|本体建模-数据关系梳理 | 需核对正文口径 |
| 14 | 知识层|本体建模-资产类定义 | 需核对正文口径 |
| 15 | 知识层|本体建模-日志类、行为类、风险类定义 | 需核对正文口径 |
| 16 | 知识层|本体建模-存量已知规则纳管 | 需核对正文口径 |
| 17 | 知识层|本体建模-类定义OWL示例 | 需核对正文口径 |
| 18 | 知识层|知识图谱设计 | 需核对正文口径 |
| 19 | 知识层|基础数据知识图谱 | 需核对正文口径 |
| 20 | 知识层|风险数据知识图谱 | 需核对正文口径 |
| 21 | 能力层|未知风险规则挖掘-流程设计 | 需核对正文口径 |
| 22 | 能力层|未知风险规则挖掘-离群点检测模型 | 需核对正文口径 |
| 23 | 能力层|未知风险规则挖掘-未知风险规则智能体 | 需核对正文口径 |
| 24 | 能力层|未知风险规则挖掘-代码生成智能体 | 需核对正文口径 |
| 25 | 能力层|未知风险规则挖掘-demo演示 | 需核对正文口径 |
| 26 | 能力层|风险识别与处置 | 需核对正文口径 |
| 27 | 能力层|智能风险督办 | 需核对正文口径 |
| 28 | 效果评估 | 已重构为“评估本体构建、风险类型路由复核、结果入库与后续动作” |
| 29 | 应用层|安全运营分析报告 | 需核对正文口径 |
| 30 | 部署架构 | 需核对正文口径 |
| 31 | 资源需求 | 需核对正文口径 |
| 32 | 目录 | 章节分隔页 |
| 33 | 投资估算 | 需核对正文口径 |
| 34 | 预期价值&评审结论 | 需核对正文口径 |
| 35 | 目录 | 章节分隔页 |
| 36 | 决策点 | 需核对正文口径 |
| 37 | 请批评指正! | 封面/结尾 |