Risk Supervision · Ontology · Agent Workflow

风险督办与效果评估本体端到端落地方案

把制度条款、已有数据对接、风险模型、督办闭环和效果评估统一到可查询、可派单、可复核、可考核的团队协作页面。

输入资产 制度库 + 本体论数据对接表

生成规则候选、规则族、本体 schema 与网页版方案。

源记录
190
制度、附件、表格统一抽取
去重文本
164
可用于规则归并的有效来源
候选规则
17,959
覆盖155个去重来源
规则族
15
可执行督办与评估约束
风险模型
32
17个已标记派单
数据表
64
45条操作类日志

Closed-loop Operating Model

制度到智能体闭环

1制度条款抽取
2规则族审核
3风险模型触发
4智能体派单督办
5整改复核验证
6效果评估考核

Rule Family Matrix

15类可执行规则族

01 监督检查计划与频次

监督检查计划与频次

公司级数据安全监督检查每年至少一次;成员单位每月至少开展一次数据安全日常监测巡查;综合检查通常不超过5个工作日,专项检查2-5个工作日。

本体映射
PolicyRule(supervision_frequency) -> InspectionPlan -> Organization
智能体用途
生成年度/月份巡查任务,判断某单位是否缺失巡查或报告。
主要来源
数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法
02 问题认定、申诉与通报

问题认定、申诉与通报

检查问题需经检查人员和组长初步认定,反馈被检查单位核实;异议需提供材料申诉,最终认定后以工单/公文通报并明确整改要求与时限。

本体映射
RiskFinding -> IssueDetermination -> Notification -> SupervisionTask
智能体用途
自动生成问题认定记录、申诉入口、最终问题单和整改任务。
主要来源
数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法
03 整改督导、验证与回头看

整改督导、验证与回头看

责任单位应制定整改方案并落实;管理部门跟踪进度,对严重落后单位督办;整改期限届满后组织整改验证,并在后续检查中回头看。

本体映射
SupervisionTask -> RectificationAction -> VerificationActivity -> FollowUpInspection
智能体用途
监控待整改/整改中/复核中/已闭环状态,触发超期预警和回头看任务。
主要来源
数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法;数据安全管控能力技术规范
04 一般问题与重大隐患处置

一般问题与重大隐患处置

日常巡查发现的一般问题立即整改,重大隐患24小时内上报并处置。

本体映射
RiskLevel -> SLAConstraint -> EscalationPolicy
智能体用途
按风险等级自动选择处置SLA和升级路径。
主要来源
数据安全日常监测巡查及监督检查管理规定
05 漏洞整改与复测

漏洞整改与复测

互联网暴露面高/中危漏洞和内网高/中危漏洞需100%完成整改;涉及公网的所有漏洞需24小时内整改;整改反馈需提供复测扫描结果或有效领导沟通记录。

本体映射
VulnerabilityRisk -> SLAConstraint -> EvidenceRequirement(rescan_report)
智能体用途
漏洞类风险自动派单、校验复扫证据、判断是否闭环。
主要来源
安全漏洞管理实施细则;安全作业实施细则;安全合规能力技术规范
06 漏洞误报、延期与无法整改例外

漏洞误报、延期与无法整改例外

误报需提供截图等证明材料并经安全管理确认后进入白名单;无法按期整改或需延期时需提供有效证明和整改计划,可申请考核减免。

本体映射
ExceptionRule -> WhitelistCase / DeferralCase -> ApprovalEvidence
智能体用途
识别整改结论为误报/延期/无法整改时,要求补齐证明、审批和复核记录。
主要来源
安全漏洞管理实施细则;三同步管理实施细则;安全合规能力技术规范
07 安全审计证据约束

安全审计证据约束

安全审计应基于日志、账号、权限、工单、纸质凭证等有效证据,审计结论必须获得证据支持;审计数据需及时、完整、准确、真实。

本体映射
AuditFinding -> EvidenceSet -> EvidenceItem
智能体用途
缺证据时不允许自动闭环;按证据类型调用日志、4A、BOMC、审批台账。
主要来源
IT领域安全审计管理实施细则;通信网络安全防护符合性评测表
08 安全审计问题跟踪闭环

安全审计问题跟踪闭环

审计问题派发给责任部门;发现安全隐患或事件需上报并启动整改;整改完成后通知安全审计员复核;无需整改需部门领导签字后归档。

本体映射
AuditIssue -> ResponsibleDepartment -> RectificationAction -> VerificationActivity / NoRectificationApproval
智能体用途
自动判断整改、无需整改、复核、归档分支,并收集领导签字或复核结果。
主要来源
IT领域安全审计管理实施细则
09 日志与审计数据留存

日志与审计数据留存

原始操作日志留存不少于6个月;日志集中管控平台在线保存至少1年审计数据、离线至少2年;定期备份恢复并保留恢复测试结果。

本体映射
DataRetentionRule -> LogDataSource -> EvidenceRequirement
智能体用途
评估某风险证据是否仍可追溯,发现日志缺口时生成数据质量问题。
主要来源
IT领域安全审计管理实施细则
10 数据安全评估与报告

数据安全评估与报告

重要及以上数据处理活动每年至少开展一次数据安全风险评估;个人信息保护影响评估每年至少一次;核心数据跨主体处理事前评估;数据出境前评估;评估报告和处理记录至少保存三年。

本体映射
DataProcessingActivity -> AssessmentRequirement -> ReportEvidence
智能体用途
判断数据处理活动是否缺评估、评估是否过期、整改是否完成。
主要来源
数据安全管理实施细则;IT领域数据安全管理办法
11 数据安全监测预警

数据安全监测预警

应对数据泄露、篡改、滥用、违规传输、非法访问、流量异常等风险进行预警,及时组织排查并采取必要防范措施。

本体映射
DataSecurityRiskType -> DetectionRule -> EscalationPolicy
智能体用途
将态势告警、DLP、数据库审计、4A日志归并为数据安全风险事件。
主要来源
数据安全管理实施细则;数据安全管控能力技术规范
12 互联网暴露面资产报备

互联网暴露面资产报备

新增自有暴露面资产先报备后上线;所有自有资产全量报备;资产信息变更应在5个工作日内在合规平台发起变更;超期10个工作日未回复资产稽核工单可能影响考核。

本体映射
ExposedAsset -> FilingRequirement -> FilingTicket -> AssessmentRule
智能体用途
发现未报备/信息不一致/变更超期时派发稽核工单并计算考核风险。
主要来源
互联网暴露面资产报备工作规范;暴露面安全管理与防护指南
13 4A、金库与敏感操作一致性

4A、金库与敏感操作一致性

4A支持账号异常登录占比、金库使用活跃占比等稽核;金库申请原因需规范化,金库实际操作应与申请理由一致;异常申请可事中阻断或事后审计。

本体映射
PrivilegedOperation -> VaultApproval -> OperationLog -> ConsistencyCheck
智能体用途
对4A/堡垒机/金库/应用操作日志进行一致性审计,生成违规敏感操作风险。
主要来源
4A能力技术规范;安全审计能力技术规范;账号管理办法
14 数据提供、脱敏与销毁效果验证

数据提供、脱敏与销毁效果验证

对内/对外数据提供需审批和安全评估,数据提供原则上不超过一年;涉及客户信息需同意或脱敏;数据销毁需确保不可恢复并做好效果验证和监督记录。

本体映射
DataProvision -> ApprovalEvidence -> ProtectionMeasure -> VerificationActivity
智能体用途
针对数据开放、脱敏、水印、销毁风险生成评估和验证任务。
主要来源
数据安全管理实施细则;数据出境安全指引;脱敏水印溯源技术规范
15 效果评估指标

效果评估指标

已有指标为是否整改、是否派发问题单、是否派发考核单、工单及时率;建议扩展为整改完成率、整改及时率、平均整改时长、复核通过率、复发率、证据完整率、例外审核通过率。

本体映射
EvaluationMetric -> EvaluationResult -> SupervisionTask
智能体用途
闭环后自动计算单任务、单模型、单部门和年度考核维度指标。
主要来源
本体论-数据对接表;数据安全管控能力技术规范;安全合规能力技术规范

Ontology Architecture

本体与智能体架构

制度依据层 制度 / 条款 / 规则族 已有数据对接 64数据表 / 32模型 / 4指标 本体知识图谱 风险场景 · 证据 · 督办 · 评估 风险督办智能体 派单 / 催办 / 升级 效果评估智能体 复核 / 指标 / 报告 团队工作台 看板 / 考核 / 报告 日志、资产、4A、BOMC、扫描、审批证据 统一标准事件 RiskEvent 与证据 EvidenceSet
PolicyDocument document_id / title / issuer / version
PolicyClause clause_id / clause_no / text / rule_type
ControlRequirement requirement_id / requirement_type / normative_level / scope
RiskScenario scenario_id / name / risk_domain / risk_type
RiskModel model_id / name / data_sources / operation_log_flag
DetectionRule rule_id / trigger_condition / threshold / schedule
RiskEvent event_id / scenario_id / asset_id / model_id
Asset asset_id / asset_type / asset_subtype / ip_or_url
DataTable table_id / table_name / asset_domain / join_condition
EvidenceItem evidence_id / evidence_type / source_table / uri
SupervisionTask task_id / event_id / owner_org / due_at
RectificationAction action_id / task_id / action_desc / submitted_at
VerificationActivity verification_id / task_id / method / result
ExceptionCase exception_id / task_id / exception_type / approval_status
EvaluationMetric metric_id / name / formula / dimension
EvaluationResult result_id / metric_id / subject_id / period
AgentAction action_id / agent_name / input_ref / decision

Risk Models

32个风险模型实例种子

需求名称 数据源 派单 操作日志 频次
一证五号合规监测模型 日志平台取一证五号校验接口日志
CRM侧每日新入网号码数据
新增(每天有新增就派单,不存在存量及整改)
涉诈号码停机监测模型 反诈用户表
用户状态表
未标注 未标注 用户取消开发,仅模型可实现验收就可以
白名单用户停机监测模型 反诈平台白名单清单
红名单
用户状态表
未标注 未标注 用户取消开发,仅模型可实现验收就可以
一证十卡监测模型 日志平台取一证十卡校验接口日志
CRM侧每日新入网号码数据
新增(每天有新增就派单,不存在存量及整改)
入网频次合规稽核模型 用户入网表 未标注 待补齐
违规登录实时预警 4A堡垒机IP清单
主机SYSlog日志(识别主机登录信息)
待补齐
设备口令监测模型 4A纳管资产
基线弱口令扫描结果
服务器不同,扫描频率不同(1、互联网暴露面24小时复扫;2、终端直连7天复扫;有些可能是1个月复扫,共8种不同服务器,其他6种用户还未定下扫描频率)
违规敏感操作识别 1、4A敏感操作清单
2、4A违规操作清单
3、审计系统报备白名单
4、主机syslog日志
5、网络设备日志
6、安全设备日志
待定
数据库连通信拨测 1、数据库拨测结果清单 新增
数据库敏感信息监测 1、数据库分类分级信息(3、4级)
2、系统责任人台账
新增
4A日志脱敏稽核 已具备 待定
4A账号的实名认证稽核 1.4a主账号表
2.组织机构表
3.B域_用户表
每周
涉敏模块操作绕行4A监测 1、4A应用金库清单
2、应用涉敏模块操作日志
未标注 待补齐
涉敏表未触发金库稽核模型 1、数据库分类分级信息(3级)
2、4A金库审批日志
3、数据库操作日志
未标注 待补齐
终端账号异常登录监测模型 1.终端准入系统日志
2.终端准入系统用户清单
每周
异常终端识别模型 1.终端准入系统日志 每周
管控安全软件是否安装稽核 1.桌面云日志
2.云桌面设备资产
每周
日志采集完整性稽核 1.CMDB资产信息
2.CMDB 的网段数据视图
3.ARP
4.4A接管资产信息
5.数据库采集结果及纳管
每日
未被4A纳管设备识别 1、CMDB设备清单
2、4A设备清单
每周
违规绕行识别 1、4A主账号信息
2、主机syslog日志
3、4A堡垒机日志
待定
跳登审计模型 1、4A主账号信息
2、主机syslog日志
3、4A堡垒机日志
4、云桌面登录日志
未标注 待补齐
应用操作绕行4A监测 1、4A单点登录日志
2、应用操作日志
未标注 待补齐
终端防绕行设备白名单绕行4A审计 1、绕行白名单台账
2、BOSS终端台账
3、云桌面责任人台账
每周
高敏感权限账号绕行稽核 1、数据库分类分级信息(3、4级)
2、应用操作数据库操作内容
3、4A单点登录日志
未标注 未标注 待补齐
合规作业执行检测 1、基线扫描结果
2、漏洞扫描结果
未标注 未标注 待补齐
防火墙策略合规监测模型 1、4A纳管资产
2、防火墙配置信息
未标注 未标注 待补齐
通用安全作业工单稽核模型 1.BOMC工单信息 未标注 未标注 待补齐
态势安全告警 态势系统发送的高危告警信息 未标注 未标注 待补齐
ds客户端自动化稽核故障主机 亚信DS的SYSLOG日志 新增
互联网暴露面资产稽核 未标注 未标注 待补齐
未纳管账号稽核 1、资源从账号清单
2、4A纳管的从账号清单
未标注 未标注 待补齐
虚拟机上登录零信任的违规稽核 1、北信源开放虚拟机的日志
2、零信任的登录日志
未标注 未标注 待补齐

Public Review & Feedback

公网发布与团队反馈落地

低门槛

GitHub Pages

适合只读评审版:把 HTML 放到仓库指定分支或目录,通过 Pages 发布;反馈可先用导出文件或 GitHub Issues 承接。

查看官方文档
演示快

Vercel / Vercel Drop

适合快速拖拽发布、给团队发预览链接;需要真实提交反馈时,可加 Serverless Function 写入数据库或表格。

查看官方文档
表单友好

Netlify

适合静态站加表单收集;也可通过 Functions、Identity 或外部数据服务扩展成带权限的评审工作台。

查看官方文档

最小可发布版

直接发布当前单文件 HTML,团队通过右侧反馈栏记录意见,并复制 JSON 或导出 CSV 汇总到项目群、飞书表格或需求池。

可沉淀反馈版

把反馈表单提交到云函数 API,落库字段包含章节、类型、优先级、反馈人、意见正文、创建时间和处理状态。

受控公网版

由于页面包含制度分析、数据表名和风险模型,公开前建议先脱敏,并放在 Cloudflare Access、企业 SSO、Vercel 保护或内网网关后。

Full Technical Plan

全文方案

风险督办与效果评估本体及智能体端到端落地方案

生成日期:2026-07-01 输入目录:/Users/wdeemo/Desktop/制度汇总 既有规则表:/Users/wdeemo/Desktop/本体论-数据对接_20260615.xlsx

1. 结论摘要

本次处理将制度目录、压缩包附件和既有本体数据对接表统一抽取为可检索语料,形成 190 条源记录,其中 164 条为去重后的可用文本,累计约 460 万字符。规则抽取共得到 17,959 条候选约束,覆盖 155 个去重来源,并归并为 15 类可执行规则族。

总体可落地方案是:以制度条款为依据层,以已有 数据表风险模型效果评估 三个 sheet 作为实例种子,建设“风险场景-检测模型-数据证据-督办任务-整改验证-效果指标”的本体和知识图谱。后续智能体不直接硬编码制度,而是按风险事件查询本体,自动选择是否派单、责任主体、SLA、证据要求、复核方式、例外审批和考核指标。

2. 输入覆盖

2.1 制度文件覆盖

  • 源记录:190
  • 去重可用文本:164
  • 状态分布:ok 187;no_text 1;short_text 2
  • 文件类型分布:.docx 48;.pdf 64;.doc 24;.xlsx 11;.txt 3;.xls 40
  • 来源类别分布:policy 75;spreadsheet 46;template_or_reference 9;technical_spec 42;other 18
  • 未抽取正文:1 个扫描型 PDF,已在 source_inventory.csv 标注为 no_text

2.2 规则候选覆盖

  • 候选规则:17959
  • 覆盖来源:155
  • 动作类分布:未分类 8288;监测检查 4169;整改闭环 1358;复核验证 1289;评价考核 1199;上报通报 1116;派单/工单 540
  • 语义类分布:asset_scope 12954;monitoring 7302;risk_trigger 5071;evidence 4982;evaluation 3719;supervision 3577;sla 3276;responsibility 2121

2.3 既有数据对接表

  • 数据表:64 条,其中操作类日志 45 条、非操作类日志 17 条。
  • 数据域覆盖:主机 6;网络设备 11;安全设备 13;业务平台 26;安全管控日志 2;安全合规日志 3;应用操作日志 3
  • 风险模型:32 条,其中标记发送工单 17 条;操作类日志模型 15 条、非操作类日志模型 7 条。
  • 效果评估:是否整改, 是否派发问题单, 是否派发考核单, 工单及时率

3. 可用规则约束归并

规则族可执行约束本体映射智能体用途主要来源
监督检查计划与频次公司级数据安全监督检查每年至少一次;成员单位每月至少开展一次数据安全日常监测巡查;综合检查通常不超过5个工作日,专项检查2-5个工作日。PolicyRule(supervision_frequency) -> InspectionPlan -> Organization生成年度/月份巡查任务,判断某单位是否缺失巡查或报告。数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法
问题认定、申诉与通报检查问题需经检查人员和组长初步认定,反馈被检查单位核实;异议需提供材料申诉,最终认定后以工单/公文通报并明确整改要求与时限。RiskFinding -> IssueDetermination -> Notification -> SupervisionTask自动生成问题认定记录、申诉入口、最终问题单和整改任务。数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法
整改督导、验证与回头看责任单位应制定整改方案并落实;管理部门跟踪进度,对严重落后单位督办;整改期限届满后组织整改验证,并在后续检查中回头看。SupervisionTask -> RectificationAction -> VerificationActivity -> FollowUpInspection监控待整改/整改中/复核中/已闭环状态,触发超期预警和回头看任务。数据安全日常监测巡查及监督检查管理规定;网络与信息安全监督检查工作管理办法;数据安全管控能力技术规范
一般问题与重大隐患处置日常巡查发现的一般问题立即整改,重大隐患24小时内上报并处置。RiskLevel -> SLAConstraint -> EscalationPolicy按风险等级自动选择处置SLA和升级路径。数据安全日常监测巡查及监督检查管理规定
漏洞整改与复测互联网暴露面高/中危漏洞和内网高/中危漏洞需100%完成整改;涉及公网的所有漏洞需24小时内整改;整改反馈需提供复测扫描结果或有效领导沟通记录。VulnerabilityRisk -> SLAConstraint -> EvidenceRequirement(rescan_report)漏洞类风险自动派单、校验复扫证据、判断是否闭环。安全漏洞管理实施细则;安全作业实施细则;安全合规能力技术规范
漏洞误报、延期与无法整改例外误报需提供截图等证明材料并经安全管理确认后进入白名单;无法按期整改或需延期时需提供有效证明和整改计划,可申请考核减免。ExceptionRule -> WhitelistCase / DeferralCase -> ApprovalEvidence识别整改结论为误报/延期/无法整改时,要求补齐证明、审批和复核记录。安全漏洞管理实施细则;三同步管理实施细则;安全合规能力技术规范
安全审计证据约束安全审计应基于日志、账号、权限、工单、纸质凭证等有效证据,审计结论必须获得证据支持;审计数据需及时、完整、准确、真实。AuditFinding -> EvidenceSet -> EvidenceItem缺证据时不允许自动闭环;按证据类型调用日志、4A、BOMC、审批台账。IT领域安全审计管理实施细则;通信网络安全防护符合性评测表
安全审计问题跟踪闭环审计问题派发给责任部门;发现安全隐患或事件需上报并启动整改;整改完成后通知安全审计员复核;无需整改需部门领导签字后归档。AuditIssue -> ResponsibleDepartment -> RectificationAction -> VerificationActivity / NoRectificationApproval自动判断整改、无需整改、复核、归档分支,并收集领导签字或复核结果。IT领域安全审计管理实施细则
日志与审计数据留存原始操作日志留存不少于6个月;日志集中管控平台在线保存至少1年审计数据、离线至少2年;定期备份恢复并保留恢复测试结果。DataRetentionRule -> LogDataSource -> EvidenceRequirement评估某风险证据是否仍可追溯,发现日志缺口时生成数据质量问题。IT领域安全审计管理实施细则
数据安全评估与报告重要及以上数据处理活动每年至少开展一次数据安全风险评估;个人信息保护影响评估每年至少一次;核心数据跨主体处理事前评估;数据出境前评估;评估报告和处理记录至少保存三年。DataProcessingActivity -> AssessmentRequirement -> ReportEvidence判断数据处理活动是否缺评估、评估是否过期、整改是否完成。数据安全管理实施细则;IT领域数据安全管理办法
数据安全监测预警应对数据泄露、篡改、滥用、违规传输、非法访问、流量异常等风险进行预警,及时组织排查并采取必要防范措施。DataSecurityRiskType -> DetectionRule -> EscalationPolicy将态势告警、DLP、数据库审计、4A日志归并为数据安全风险事件。数据安全管理实施细则;数据安全管控能力技术规范
互联网暴露面资产报备新增自有暴露面资产先报备后上线;所有自有资产全量报备;资产信息变更应在5个工作日内在合规平台发起变更;超期10个工作日未回复资产稽核工单可能影响考核。ExposedAsset -> FilingRequirement -> FilingTicket -> AssessmentRule发现未报备/信息不一致/变更超期时派发稽核工单并计算考核风险。互联网暴露面资产报备工作规范;暴露面安全管理与防护指南
4A、金库与敏感操作一致性4A支持账号异常登录占比、金库使用活跃占比等稽核;金库申请原因需规范化,金库实际操作应与申请理由一致;异常申请可事中阻断或事后审计。PrivilegedOperation -> VaultApproval -> OperationLog -> ConsistencyCheck对4A/堡垒机/金库/应用操作日志进行一致性审计,生成违规敏感操作风险。4A能力技术规范;安全审计能力技术规范;账号管理办法
数据提供、脱敏与销毁效果验证对内/对外数据提供需审批和安全评估,数据提供原则上不超过一年;涉及客户信息需同意或脱敏;数据销毁需确保不可恢复并做好效果验证和监督记录。DataProvision -> ApprovalEvidence -> ProtectionMeasure -> VerificationActivity针对数据开放、脱敏、水印、销毁风险生成评估和验证任务。数据安全管理实施细则;数据出境安全指引;脱敏水印溯源技术规范
效果评估指标已有指标为是否整改、是否派发问题单、是否派发考核单、工单及时率;建议扩展为整改完成率、整改及时率、平均整改时长、复核通过率、复发率、证据完整率、例外审核通过率。EvaluationMetric -> EvaluationResult -> SupervisionTask闭环后自动计算单任务、单模型、单部门和年度考核维度指标。本体论-数据对接表;数据安全管控能力技术规范;安全合规能力技术规范

4. 本体设计

4.1 分层

  1. 制度依据层:保存制度、条款、版本、来源、抽取置信度。
  2. 风险场景层:抽象违规登录、弱口令、漏洞、暴露面未报备、4A绕行、金库不一致、数据泄露、违规传输、日志采集缺失等风险。
  3. 数据证据层:承接日志表、扫描结果、资产台账、账号权限、工单、审批、评估报告、截图等证据。
  4. 督办流程层:定义派单、整改、延期、误报、无法整改、复核、回头看、通报、考核单等状态与动作。
  5. 效果评估层:计算是否整改、是否派发问题单、是否派发考核单、工单及时率,以及扩展指标。
  6. 智能体执行层:记录智能体查询、推理、派单、催办、验证、报告生成的决策轨迹。

4.2 核心类

说明关键属性
PolicyDocument制度文件标题、发文单位、版本、生效日期、来源路径
PolicyClause条款/表格规则条款号、原文摘要、规则类型、置信度、来源行
ControlRequirement可执行制度要求规范强度、适用范围、频次、SLA、证据要求
RiskScenario风险场景风险域、风险类型、默认等级、适用资产
RiskModel检测/稽核模型数据源、模型表、是否派单、工单频次
DetectionRule触发规则触发条件、阈值、调度、SQL/算法引用
RiskEvent风险事件实例资产、模型、发生时间、等级、状态
EvidenceItem证据来源表、证据类型、采集时间、完整性
SupervisionTask督办任务责任单位、到期时间、工单号、状态
VerificationActivity复核验证复扫、日志核验、人工审核、结果
ExceptionCase例外情形误报、延期、无法整改、审批状态、证明材料
EvaluationMetric评价指标公式、维度、周期
EvaluationResult指标结果指标值、主体、周期、证据

完整 schema 已输出至 ontology_schema.json

4.3 关键关系

制度与附件文档抽取本体数据表种子实例规则库知识图谱风险模型风险事件督办智能体工单闭环复核评估看板报告

4.4 约束建模建议

  • OWL/RDF 或 Neo4j 均可承载本体。建议项目一期使用 Neo4j/图数据库承载实例图,规则约束以 YAML/DSL 存储,后续再导出 RDF/OWL。
  • 每条制度规则保留 source_path + source_line + clause_hash,保证智能体解释可追溯。
  • 本体对象 ID 建议使用稳定命名:risk_model:违规登录实时预警table:log4a_dwd.dwd_oper_log_5150_vm_syslog_login_rimetric:工单及时率
  • 规则不要只存自然语言,应拆成 触发条件、适用对象、责任主体、SLA、证据、复核方法、例外、考核影响 八个字段。

5. 基于已有数据的实例化方案

5.1 数据表 sheet 映射

将每一行映射为 DataTable 节点,并建立:

  • DataTable.asset_domain:主机、网络设备、安全设备、业务平台、安全合规日志等。
  • DataTable.asset_subtype:虚拟机、PC服务器、华为交换机、4A接管资产信息等。
  • DataTable.table_name:ODS/DWD/DWS/ADS 物理表。
  • DataTable.join_condition:与资产、账号、资源等主数据的关联字段。
  • DataTable.is_operation_log:判断是否可作为行为审计证据。

5.2 风险模型 sheet 映射

将 32 个需求映射为 RiskModel 节点。建议首批上线 6 类高价值模型:

优先级风险模型原因本体需要补齐
P0违规登录实时预警已有4A堡垒机IP清单与主机SYSlog,适合形成实时/准实时派单违规登录判定条件、SLA、责任归属
P0设备口令监测模型已有4A纳管资产和弱口令扫描结果,且已有24小时/7天复扫规则按资产暴露属性生成复扫周期
P0违规敏感操作识别已有DWS结果表和敏感/违规操作清单、白名单、主机/网络/安全设备日志白名单、金库、4A绕行、复核规则
P1日志采集完整性稽核每日频次,能支撑审计证据完整性数据质量规则、缺失日志影响范围
P1未被4A纳管设备识别CMDB与4A设备清单差异可直接督办资产归属、纳管例外
P1互联网暴露面资产稽核与“先报备后上线、五个工作日变更、十个工作日回复”强相关报备状态、变更时间、稽核工单

5.3 效果评估 sheet 映射

已有 4 个指标可作为最小可行指标:

  • 是否整改:SupervisionTask.status=已闭环 且存在通过的 VerificationActivity
  • 是否派发问题单:RiskModel.dispatch_required=true 时存在有效 ticket_id
  • 是否派发考核单:触发超期、屡查屡犯、整改不到位、重大隐患等考核规则时存在考核流程记录。
  • 工单及时率:按周期统计 按期闭环任务数 / 应闭环任务数

建议扩展:

  • 整改完成率、整改及时率、平均整改时长、复核通过率、问题复发率、证据完整率、例外审核通过率、超期未整改数量、重大隐患24小时处置达标率。

6. 智能体如何使用本体

6.1 风险督办智能体

输入:风险事件、模型结果表、日志证据、资产/账号/责任人信息。 动作:

  1. 根据 RiskEvent.model_id 查询 RiskModel
  2. 沿 RiskModel -> RiskScenario -> ControlRequirement 找到适用制度规则。
  3. 判断是否需要派单、派什么单、派给谁、到期时间、需要哪些证据。
  4. 通过 BOMC/SMP/平台自建流程创建 SupervisionTask
  5. 监控任务状态,超期自动催办;重大隐患按 24 小时规则升级。
  6. 接收整改结论,进入待复核、例外审核或考核分支。

6.2 效果评估智能体

输入:督办任务、整改结论、复扫/日志/审批证据、考核规则。 动作:

  1. 校验任务是否按制度要求派发问题单。
  2. 校验证据是否满足 EvidenceRequirement
  3. 调用复扫、日志比对、4A/金库一致性校验、人工确认等复核方法。
  4. 计算是否整改、是否派发考核单、工单及时率等指标。
  5. 生成部门、模型、资产、周期维度的评估报告。
  6. 对复发、超期、证据缺失、例外滥用生成二次风险。

6.3 本体维护智能体

输入:新增制度、修订对照表、人工审核意见。 动作:

  1. 抽取新增条款并形成 PolicyClause
  2. 将条款拆解为规则字段。
  3. 对比已有规则,识别新增、修改、废止。
  4. 生成待审核变更单,人工确认后发布新版本。

7. 端到端技术架构

制度与附件文档抽取本体数据表种子实例规则库知识图谱风险模型风险事件督办智能体工单闭环复核评估看板报告

7.1 数据层

  • 日志类:主机 SYSLOG、网络设备、安全设备、4A/堡垒机、金库、数据库审计、DLP、态势告警。
  • 台账类:CMDB/BOMC资产、4A接管资产、账号/权限、组织机构、责任人、暴露面报备、白名单。
  • 工单类:BOMC/SMP 问题单、整改单、考核单、审批记录、延期/误报/无法整改申请。
  • 评估类:漏洞扫描、基线扫描、弱口令、风险评估报告、数据安全评估、符合性评测表。

7.2 服务层

  • 文档解析服务:制度、PDF、DOC/DOCX、XLS/XLSX、压缩包解析,扫描 PDF 接 OCR。
  • 本体服务:图谱查询、规则版本、条款溯源、实体归一。
  • 风险模型服务:按模型运行 SQL/算法,输出标准化 RiskEvent
  • 规则推理服务:把制度约束转成可执行决策。
  • 督办编排服务:派单、催办、升级、例外处理、回头看。
  • 证据采集服务:按本体定义采集日志、扫描、审批、工单、报告证据。
  • 效果评估服务:指标计算、复核结果、考核建议。

7.3 标准事件结构

{
  "event_id": "risk-20260701-0001",
  "model_id": "违规敏感操作识别",
  "risk_type": "privileged_operation_violation",
  "risk_level": "high",
  "asset": {"ip": "10.x.x.x", "system": "某系统", "owner_org": "某部门"},
  "evidence": [
    {"type": "4A金库申请日志", "table": "log4a_ods.ODS_4A_GOLD_STRATEGY_DF"},
    {"type": "堡垒机操作日志", "table": "log4a_dwd..."}
  ],
  "detected_at": "2026-07-01T10:00:00+08:00"
}

8. 示例流程

8.1 设备口令弱口令

  1. 风险模型读取 4A 纳管资产和基线弱口令扫描结果。
  2. 本体判断资产是否互联网暴露面或终端直连:互联网暴露面按 24 小时复扫,终端直连按 7 天复扫,其他按已配置周期。
  3. 生成问题单,附弱口令扫描证据、资产负责人、整改要求。
  4. 整改后要求提供复扫结果;复扫通过才允许闭环。
  5. 超期未整改进入督办,长期未处理触发考核单建议。

8.2 违规敏感操作/金库不一致

  1. 风险模型关联 4A敏感操作清单、违规操作清单、审计白名单、主机/网络/安全设备日志。
  2. 本体查询金库申请理由模板、金库授权日志、堡垒机/应用操作日志。
  3. 智能体判断是否存在申请理由不合规、实际操作超范围、4A绕行或敏感数据异常访问。
  4. 若命中白名单,进入例外审核;否则派发整改/核查工单。
  5. 复核时校验后续日志是否无同类违规,并计算复发率。

8.3 互联网暴露面未报备

  1. 资产扫描发现公网 IP/域名/API/APP 与合规平台报备不一致。
  2. 本体判断适用“先报备后上线、全量报备、五个工作日变更”规则。
  3. 生成稽核工单给资产接口人/管理人/报备人。
  4. 超过 10 个工作日未回复,标记为考核风险。
  5. 复核报备记录与实际暴露面一致后闭环。

8.4 数据安全评估缺失

  1. 识别重要及以上数据处理活动、数据出境、核心数据跨主体处理、个人信息处理特定场景。
  2. 本体查询对应评估要求:年度、事前、出境前。
  3. 若评估报告缺失或过期,派发评估补做/整改任务。
  4. 效果评估校验评估报告、整改记录、保存期限和复用关系。

9. 实施路线

阶段周期主要工作交付物
0. 数据治理准备1-2周接入制度库、OCR扫描PDF、确认工单/日志/资产权限可用语料库、数据源清单、问题清单
1. 本体一期2-3周建立核心类、关系、规则DSL;导入数据对接表和15类规则族本体schema、种子图谱、规则库v1
2. 风险模型接入3-6周接入P0模型:违规登录、弱口令、违规敏感操作标准RiskEvent、模型运行日志、证据映射
3. 督办闭环4-8周打通BOMC/SMP/自建流程,完成派单、催办、复核、例外督办智能体、效果评估引擎、看板
4. 扩展与运营持续新制度增量抽取、模型扩展、指标优化、人工审核闭环规则版本管理、年度考核支撑

10. 验收标准

  • 本体覆盖:首批 32 个风险模型全部实例化,64 条数据表均可查询;P0模型具备规则、证据、SLA、复核、指标映射。
  • 追溯能力:任一智能体决策可回溯到制度条款、数据源、模型结果和工单记录。
  • 督办闭环:问题单自动生成、状态同步、超期催办、复核验证、例外审批均可记录。
  • 效果评估:最小4项指标可按部门/模型/周期统计,扩展指标至少落地整改及时率、复核通过率、证据完整率。
  • 数据质量:日志/资产/账号/工单关键字段缺失时能识别并生成数据质量风险。

11. 产物清单

  • source_inventory.csv:源文件覆盖、去重、抽取状态。
  • rule_candidates.csv:17,959 条候选规则。
  • source_rule_summary.csv:每份制度的规则画像。
  • normalized_rule_families.csv:15 类可执行规则族。
  • data_table_catalog.csv:既有数据表映射。
  • risk_model_catalog.csv:既有风险模型映射。
  • effect_metric_catalog.csv:既有效果评估指标。
  • ontology_schema.json:本体 schema 草案。

12. 注意事项

  1. 扫描型 PDF 需要补充 OCR 后再纳入正式规则库。
  2. 候选规则中包含大量技术配置项,正式入库前应由制度/安全/数据负责人审核,区分“强约束、建议项、平台能力要求、检测项”。
  3. 既有风险模型表中部分模型缺少工单频次、模型表名或是否派单标记,建议在一期建设时补齐。
  4. 对“及时、定期、限期”等非量化时限,应在本体中先保留原文,再由业务确认可执行 SLA。