Review HTML · Feedback · Publishing

2026年山西公司AI+安全本体运营管控项目协作评审稿

效果评估页已重构为本体调用、风险路由复核和闭环动作

输入材料 safety_ontology_review.md

生成目录、全文阅读、反馈侧栏和公网发布说明。

章节
22
由 Markdown 标题自动生成
字符
8,597
用于估算阅读和评审体量
反馈
已启用
本地保存,公网可接 API
发布
Cloudflare
Pages + Functions + D1

Public Review

公网发布与反馈落地

静态

GitHub Pages / Vercel / Netlify

只读评审可直接托管单文件 HTML;反馈先用本地导出 JSON/CSV 汇总。

Vercel 文档
共享

反馈 API

页面会自动尝试连接 /api/feedback。API 不存在时回退到浏览器本地保存。

Functions 文档
受控

权限与脱敏

内部资料建议脱敏后发布,或放在企业 SSO、Cloudflare Access、内网网关后。

Access 文档

Full Content

2026年山西公司AI+安全本体运营管控项目协作评审稿

2026年山西公司AI+安全本体运营管控项目协作评审稿

> 来源材料:2026年山西公司AI+安全本体运营管控项目建设方案汇报0610.pptx。本文将 37 页立项方案重构为可检索、可评论、可发布的 HTML 评审版,用于团队共同编著、核对和收敛修改意见。

1. 项目一页速览

维度当前口径团队核对点
项目名称2026年山西公司AI+安全本体运营管控项目名称是否与立项系统、预算系统完全一致
立项部门数智化部是否需要补充安全运营、网络安全、业务系统责任部门
项目类型计划内、扩容系统、大数据系统“扩容系统”与新增组件、AI智能体、图数据库部署之间的边界需确认
建设周期项目满足期 12 个月,预计 2026年X月上线需要补全具体上线月份和关键里程碑
投资预算287.3万元,不含税3380人天 × 850元/人天 = 287.3万元,需核对取费依据
建设主线数据标准化、本体建模、知识图谱、智能体、风险闭环、运营报告是否覆盖当前安全数据中心能力复用边界
预期价值未知风险识别月均不少于10条,报表和统计工作量降低65%以上指标口径、采集方式、验收方式需明确

2. 用一句话讲清这个项目

把散落在日志、资产、账号、工单、规则和专家经验里的安全运营知识,沉淀为“安全本体 + 知识图谱 + AI智能体”的统一底座,让系统从只会按固定规则告警,升级为能够学习日志、生成规则、识别风险、派发处置、持续督办、评估整改并自动产出运营报告的闭环管控平台。

3. 背景与痛点

痛点现在的典型表现本项目要改变什么
AI不懂业务通用AI可以总结、问答、写材料,但难以理解企业安全运营的实体、关系、规则和动作用本体把“是什么、怎么连、如何判断、触发什么动作”结构化
风险识别依赖固化规则已知规则能识别,未知风险主要靠事后人工研判引入离群点检测、规则生成智能体和人工审核机制,补齐未知风险发现
风险覆盖不全单条日志孤立分析,跨账号、IP、设备、工单链路难关联通过基础数据图谱和风险数据图谱做多跳关联和链路还原
攻击链路难还原根因定位和隐藏关联分析依赖经验,耗时长用图谱把用户、资产、日志、规则、风险、行动串成可追溯链路
运营闭环弱发现、派单、督办、复查、评估分散在多个流程里打通BOMC、工单稽核、分级督办、效果评估和规则优化

4. 安全本体运营闭环

环节输入智能能力输出
日志学习主机、应用、安全管控、安全合规等日志数据过滤、解析、字段口径对齐、模板映射高质量标准化日志
规则挖掘标准化日志、异常序列、图谱上下文DeepLog离群点检测、大模型推理、规则生成Skills候选风险规则、处置建议
人工确认候选规则、样例数据、规则解释规则审核、冲突检测、置信度重评可入库风险规则
风险识别已知规则、新规则、实时或批量日志规则代码执行、图谱推理、风险策略引擎风险事件、风险详情、处置建议
行动处置风险事件、责任人、处置策略BOMC工单接口、短信通知、处置状态回写处置工单、预警通知、图谱状态更新
智能督办工单反馈、风险时限、证据材料AI工单合规性稽核、7天/14天分级督办合规结论、整改工单、问题单、考核单
效果评估整改前后证据、历史案例、图谱链路查询效果评估本体,按风险类型路由复核接口、证据包和例外规则整改彻底性、复发性、合规性、时效性和后续动作结论
报告生成基础图谱、风险图谱、运营指标Agent调度数据查询、统计、研判、生成、可视化渲染Skill多角色安全运营报告

5. 四层建设方案

层级主要建设内容关键产物审阅焦点
数据层接入和标准化8类日志数据,实施过滤、解析、字段口径对齐标准化日志、调度任务、数据质量规则8类数据与现有9大类69小类安全数据之间的映射关系
知识层部署Protégé做本体建模,部署TuGraph构建知识图谱,开发数据查询、图谱查询、图谱写入插件OWL本体、基础数据图谱、风险数据图谱、TuGraph知识库本体类、属性、关系、规则、动作是否完整可落库
能力层构建未知风险规则挖掘、风险识别与处置、智能督办、效果评估、报告生成能力DeepLog模型、6类智能体、7类Skills、规则库、处置链路模型准确率、误报处置、人工确认边界、BOMC接口可行性
应用层构建安全风险视图、规则审核、工单稽核工作台、效果评估管理、运营报告生成运营门户、审核页面、稽核工作台、报告模板多角色权限、流程可用性、审计留痕、上线验收指标

6. 知识层设计要点

6.1 本体建模

模块含义示例
实体模型安全运营中的对象用户、主机、日志、风险、工单、规则
属性模块实体自身信息账号状态、资源名称、操作时间、风险等级
关系模块实体之间如何连接用户操作主机、主机产生日志、日志触发风险、风险触发行动
规则模块判断条件和约束绕行4A、频繁跳转、涉敏模块异常操作等
动作模块满足条件后的自动行为发工单、短信通知、阻断、督办、效果评估

6.2 图谱分层

图谱定位输入输出价值
基础数据知识图谱低频变更的稳定知识底座主机、用户、网络设备、安全设备、CMDB、4A等结构化清单沉淀资产、账号、组织、系统、设备之间的稳定关系
风险数据知识图谱高频变化的动态感知层日志、告警、风险、处置、督办、误报、评估记录串联风险发生、处置、反馈、优化和评估全过程

6.3 风险图谱核心实体与关系

类型内容
7类核心实体风险日志、风险事件、处置行动、误报反馈、检测规则、风险督办、效果评估
关键关系日志生成风险、规则匹配风险、风险触发行动、风险创建督办、风险关联评估、误报驱动规则优化
需要核对是否还要补充责任人、组织、系统、审批单、变更单、证据包、考核单等实体

7. 能力层设计要点

7.1 未知风险规则挖掘

能力设计口径需要补证据
离群点检测模型将不同类型日志聚类映射成标准模板,采用DeepLog通过滑动窗口预判下一步操作,发现偏离正常模式的序列训练数据范围、标注样本、准确率、召回率、误报率、GPU训练频率
规则生成智能体基于异常特征、安全本体和图谱关联上下文,生成结构化候选风险规则候选规则格式、审核流程、规则冲突检测、版本管理
规则自进化对未采纳规则按原因分类,通过泛化、细化、合并、拆分、淘汰持续迭代未采纳规则池治理机制、人工反馈闭环、置信度阈值
代码生成智能体将规则JSON转成识别逻辑,生成代码并在OpenSandbox中运行,错误由代码进化Skills修复沙箱权限、依赖白名单、代码审计、异常退出和人工接管机制

7.2 风险识别、处置与督办

场景关键动作需要核对
风险识别执行规则代码,生成风险内容和处置建议规则运行频率、实时/离线边界、风险等级标准
风险处置通过接口推送BOMC形成处置工单,并短信通知责任人BOMC接口字段、失败重试、责任人匹配逻辑
工单合规性稽核获取BOMC反馈内容,结合研判规则库判断是否合规必传附件规则、7日反馈规则、简单回复拦截标准
分级督办7天未整改通知三级经理,14天未整改通知分管领导并生成考核单7/14天是否按自然日或工作日,督办对象和通知渠道
效果评估基于效果评估本体,按风险类型选择扫描、日志、工单材料等复核方式,并将结果写回图谱、驱动后续动作31个模型归并模板、证据接口、例外审批、人工复核边界

7.3 效果评估本体落地口径

环节落地口径关键核对点
构建评估本体从制度文档、31个风险模型和既有效果评估指标中抽取风险场景、证据要求、SLA、复核方法、例外规则和评价指标RiskScenarioRiskModelEvidenceRequirementVerificationActivityExceptionCaseEvaluationMetric 等类是否完整
按风险类型路由复核漏洞/基线/弱口令类调用扫描接口;4A/金库/绕行类查询4A、堡垒机、金库、应用操作日志;无法自动验证类解析工单反馈、附件、审批截图复核接口权限、数据时效、人工复核触发条件
结果入库与后续动作输出 remediation_scoreremediation_detailevidence_statusrecurrence_flagtimeout_flag,并驱动重建工单、退回补充、督办考核或例外审批图谱写回字段、动作触发规则、考核统计口径
评估案例沉淀沉淀评估结论、证据链、整改过程和后续动作,持续优化复核规则、证据模板和例外处置口径评估案例知识库、规则优化闭环

8. 应用层与角色协作

角色关注页面/能力审阅任务
项目负责人项目总览、建设清单、投资估算、决策点核对目标、预算、里程碑和验收指标
安全运营风险视图、规则审核、智能督办、效果评估核对规则口径、处置流程、误报处理和SLA
数据治理数据标准化、本体建模、图谱构建核对数据源、字段、映射、质量和生命周期
平台架构部署架构、资源需求、复用组件核对高可用、容量、监控、灾备和安全边界
运维支撑BOMC、短信、调度、监控、链路追踪核对接口、告警、变更、回滚和日志审计
财务采购人天、单价、建设内容、软件工具核对投资依据、资源复用、外采边界和交付物

9. 部署与资源需求

组件建议口径源稿资源口径
前端与业务微服务Web接入层、Nginx、业务微服务、Nacos注册配置中心3节点,每节点4C、8GB、1024GB存储
Redis缓存集群支撑会话、任务状态、热点数据缓存3节点,每节点16C、32GB、1024GB存储
TuGraph图数据库存储知识图谱,支撑复杂关系遍历查询3节点,每节点16C、64GB、4096GB存储
OpenSandbox沙箱隔离运行AI生成代码,做测试验证3节点,每节点16C、32GB、1024GB存储
GPU服务器训练DeepLog小模型,训练完成后释放部分GPU资源2节点,合计2张GPU,每节点16C、32GB、1024GB存储
复用组件安全数据中心数据库集群、Kafka、Flink、Qwen3、BGE-Reranker等需确认复用容量和责任边界
监控体系Prometheus、Grafana、链路追踪、告警管理需补充节点规格和告警指标
向量与对象存储Milvus、MinIO、Elasticsearch源稿列出组件但部分规格待补齐

10. 投资估算核对表

层级功能大类功能子类人天金额(万元)
数据层数据标准化数据接入403.4
数据层数据标准化数据清洗605.1
数据层定时调度调度任务201.7
知识层本体建模多类本体融合建模25021.25
知识层安全数据知识图谱TuGraph环境搭建302.55
知识层安全数据知识图谱OWL图谱Schema构建25021.25
知识层安全数据知识图谱图谱数据自动构建33028.05
能力层未知风险规则挖掘离群点检测模型24020.4
能力层未知风险规则挖掘智能体与规则管理31026.35
能力层未知风险规则挖掘代码生成智能体23019.55
能力层异常风险发现风险识别26022.1
能力层智能督办工单合规性稽核16013.6
能力层智能督办未整改风险督办18015.3
能力层效果评估效果评估29024.65
能力层运行分析报告报告生成41034.85
应用层应用层功能交互页面32027.2
合计全部全部3380287.3

11. 预期价值与验收指标

价值源稿口径建议补充的验收方式
工具沉淀1套本体建模工具明确Protégé部署、权限、版本、模型导出和审计机制
图谱沉淀2类安全本体知识图谱明确实体数量、关系数量、更新周期、查询性能
智能体沉淀6个安全场景智能体明确每个智能体的输入、输出、人工确认点、失败兜底
Skills沉淀7类Skills明确可复用范围、调用日志、权限控制和版本管理
算法沉淀1个DeepLog离群点检测模型明确训练集、测试集、检测准确率、误报率和漂移监控
知识库沉淀3类知识库明确知识来源、更新机制、审核机制
风险发现未知风险识别月均不少于10条明确“有效未知风险”的定义和复核方式
效率提升人工报表编制、数据统计工作量降低65%以上明确基线工时、统计周期和抽样方法

12. 发布前脱敏与安全提示

项目建议处理方式
主机名、IP、账号、手机号、日志样例公网发布前替换为模拟数据或隐藏关键字段
安全架构、对接系统、资源规格如必须公开,建议使用概括表达;内部评审版放在访问控制后
投资预算和人天根据发布对象决定是否保留,外部公开版建议只保留比例或范围
BOMC接口、短信触达、督办链路避免暴露接口字段、责任人、组织层级和操作细节
模型、插件、沙箱、权限说明保留建设方向,隐藏安全策略、白名单、运行目录等实现细节
反馈数据公网共享反馈建议接Cloudflare D1,并配置访问控制、审计和导出机制

13. 团队共创审阅问题池

  • 立项口径:预计投产时间仍为“2026年X月”,评审结论和决策点中仍有“XXXX”“202X年X月”“XXX万元”等占位,需要负责人补齐。
  • 数据口径:源稿同时出现“8类日志数据”和“已接入9大类69小类安全数据”,需要解释两者关系,避免评审时被追问。
  • 能力边界:未知风险规则由AI生成后,哪些场景必须人工确认,哪些可以自动入库,需要明确审批链路。
  • 模型指标:DeepLog模型需要补充样本规模、训练频率、检测效果、误报处置和模型漂移监控。
  • 图谱落地:OWL到TuGraph Schema的映射、实体去重、增量更新、历史版本回溯需要形成技术验收项。
  • 工单闭环:BOMC字段、责任人匹配、短信模板、失败重试、工单状态同步需要补接口清单。
  • 督办规则:7天、14天分级督办要确认自然日/工作日、通知对象、考核单生成依据。
  • 资源规格:Elasticsearch、MinIO、Milvus、智能体服务、监控链路等规格目前不完整,需要补齐容量估算。
  • 发布策略:内部共创建议先用访问控制链接;公网发布前至少做一轮脱敏审查。

14. 决策点草案

是否同意“2026年山西公司AI+安全本体运营管控项目”建设,投资预算287.3万元(不含税),按照数据层、知识层、能力层、应用层四层方案启动实施,并以未知风险识别、风险闭环处置、智能督办、效果评估和安全运营报告自动生成为主要验收方向。

15. 源稿逐页核对索引

页码标题核对说明
12026年山西公司AI+安全本体运营管控项目封面/结尾
2目录章节分隔页
3项目概况需核对正文口径
4目录章节分隔页
5项目背景需核对正文口径
6目录章节分隔页
7现状与痛点分析需核对正文口径
8目录章节分隔页
9安全运营体系蓝图需核对正文口径
10目录章节分隔页
11总体支撑架构需核对正文口径
12知识层|本体建模-总体概览需核对正文口径
13知识层|本体建模-数据关系梳理需核对正文口径
14知识层|本体建模-资产类定义需核对正文口径
15知识层|本体建模-日志类、行为类、风险类定义需核对正文口径
16知识层|本体建模-存量已知规则纳管需核对正文口径
17知识层|本体建模-类定义OWL示例需核对正文口径
18知识层|知识图谱设计需核对正文口径
19知识层|基础数据知识图谱需核对正文口径
20知识层|风险数据知识图谱需核对正文口径
21能力层|未知风险规则挖掘-流程设计需核对正文口径
22能力层|未知风险规则挖掘-离群点检测模型需核对正文口径
23能力层|未知风险规则挖掘-未知风险规则智能体需核对正文口径
24能力层|未知风险规则挖掘-代码生成智能体需核对正文口径
25能力层|未知风险规则挖掘-demo演示需核对正文口径
26能力层|风险识别与处置需核对正文口径
27能力层|智能风险督办需核对正文口径
28效果评估已重构为“评估本体构建、风险类型路由复核、结果入库与后续动作”
29应用层|安全运营分析报告需核对正文口径
30部署架构需核对正文口径
31资源需求需核对正文口径
32目录章节分隔页
33投资估算需核对正文口径
34预期价值&评审结论需核对正文口径
35目录章节分隔页
36决策点需核对正文口径
37请批评指正!封面/结尾