案例价值
"各信息系统本季度安全事件数量"
— 信息主任一句提问,实时感知全网安全态势
信息中心主任每月向领导汇报网络安全态势,依赖于安全监控系统导出事件日志、工单系统导出处置记录,人工汇总后生成报告。数据准备需要2-3天,且不同系统的安全事件定级标准不统一,报告的准确性和时效性难以保障。
引入UINO数据智能引擎后,信息主任随时可用自然语言发问,安全态势感知从事后汇报升级为实时可问。系统整合安全监控系统与工单系统数据,自动统一定级口径,30秒内返回各系统安全事件统计。安全事件响应时效从T+1提升到T+0,等保合规自查效率提升70%。
技术路径
数据源对接:安全监控系统管理告警、事件、漏洞扫描数据;工单系统管理事件处置记录、响应时效、闭环状态。两个系统数据独立,安全事件定级口径各系统自有一套标准。
1
本体建模:以"信息系统"、"安全事件"、"数量"为核心实体构建语义层。"安全事件"按等保标准统一分类为四级:一级(特别严重)、二级(严重)、三级(较重)、四级(一般)。本体层统一定义各系统历史事件到等保标准的映射关系。
2
语义映射:各安全监控系统原有定级标签(如"严重""警告""提示")与等保标准四级之间的映射关系由安全管理员确认。历史事件按当时有效标准重新映射,确保跨时期可比。
3
聚合语义计算:"各系统本季度安全事件数量"语义解析为:按信息系统分组→筛选本季度时间窗口→统计事件总数(含各级)→按数量降序排列。语义引擎自动关联工单系统确认事件已闭环,避免统计未处置事件。
4
权限密级过滤:涉密网系统与互联网系统物理隔离,用户权限与系统密级匹配。信息主任可查看全部系统安全数据;普通运维人员仅可查看授权系统的数据。