以网络威胁情报构建威胁驱动型网络安全体系-ISACA

以网络威胁情报构建威胁驱动型网络安全体系目录4引言5/信息窃取型恶意软件7/优先情报需求7/将不同类型的威胁情报映射到业务需求7/战略威胁情报8/战术威胁情报8/运营威胁情报8/技术威胁情报8/推动企业各层级利益相关方参与9/案例研究10/对管理层级的向上和向下沟通策略11/威胁情报项目的规模化建设11/法律与监管合规考量12/技术栈与工具选型13/自动化作为威胁情报的核心支柱13/泄露身份信息的优先级解析14/基于大语言模型(LLM)的初始访问代理(IAB)分析14/泄露凭证的验证与修复14/用于威胁狩猎的失陷指标(loC)情报源16结论摘要长期以来，许多企业难以从传统的网络威胁情报项目中获得切实价值。常见问题包括：情报缺乏可操作性、海量数据未经优先级排序、需求定义模糊不清等。与此同时，威胁环境本身也日益复杂——网络犯罪生态快速商业化、生成式人工智能(GenA1)兴起、地缘政治紧张局势升级，这些因素都使得以情报驱动安全防护变得愈发紧迫。本白皮书提供了一套切实可行的路线图，帮助企业新建或强化现代化的威胁情报体系。内容融合了行业最佳实践与一线客户实战经验，指导企业如何从零散、合规导向的做法，转向真正系统化、以威胁为核心的防御策略。无论您是希望从零搭建成熟的情报体系，还是优化现有机制，本文都能为您提供实用参考。高管、安全管理者及信息安全团队均可从中获取具体步骤，包括如何构建威胁模型、设定优先情报需求(PIRs),以及确保情报产出与企业风险管理目标高度对齐。引言谷歌云近期委托开展的一项调研覆盖了1500多名IT与网络安全专业人士，结果显示：61%的受访者表示被过多的情报源淹没，59%坦言难以将情报转化为实际行动，另有59%在验证威胁的真实性或相关性方面举步维艰。面对这一现状，本白皮书提出一套具体、可落地的行动框架，供风险管理、安全及IT领域的决策者参考，用以构建或优化威胁情报体系，实现可衡量的安全成效。当下正是推动情报体系建设的关键时机，原因如下：二者协同作用，共同构筑起高效的企业风险管理体系：既能持续将技术层面的风险缓解措施与业务目标对齐，又能将剩余风险控制在可接受范围内。products/identity-security/too-many-threats-too-much-data-new-survey-h威胁态势与不断演化的网络犯罪生态系统网络威胁情报的核心驱动力之一，正是网络犯罪生态的快速演变。要建立有效的威胁情报体系，就必须紧跟这一生态日新月异的变化节奏。据CybersecurityVentures预测，到2025年，网络犯罪将给全球经济造成高达10.5万亿美元的损失2。新的攻击团伙、战术和恶意软件变种层出不穷，又迅速更迭。如今的网络犯罪早已不是零散个体的“单打独斗”,而是一个拥有复杂供应链、专业分工和规模效应的成熟“产业”。网络威胁情报的核心驱动力之一，正是网络犯罪生态的快速演变。正因如此，应对网络犯罪必须深入理解这个具有真实世界影响的地下经济体系。以LockBit勒索软件团伙为例：乍看之下，外行可能以为它只是几个全能黑客在系统性地攻击企业。但事实上，LockBit的成功完全依赖于过去十年逐步形成的多层次黑产供应链。信息窃取型恶意软件和漏洞利用工具为“初始访问代理” (IABs)提供了可扩展的入侵手段，他们攻陷企业环境后，再将访问权限转卖给勒索软件“附属团伙”。这些附属团伙本质上是独立运营的攻击者，代表LockBit发动攻击，从而实现了数千起成功勒索事件，累计勒索金额高达数亿美元³。因此，有效的情报团队核心任务之一，就是深入剖析这一生态的组成要素、攻击实施路径，尤其是其中可被阻断的关键节点。这不仅是理解威胁的基础，更是企业实质性降低风险的重大契机。信息窃取型恶意软件是一类专门感染终端设备、窃取浏览器中保存的凭证及其他高度敏感信息(如会话Cookie、浏览历史、自动填充数据等)的恶意程序。窃取的数据会被上传至攻击者控制的命令与控制(C2)服务器，形成所谓的“窃取日志”(stealerlog),其中包含单个用户设备上的全部敏感信息。过去五年间，信息窃取型恶意软件在网络犯罪生态中迅速崛起，已成为企业安全团队面临的主要挑战之一。technology/cybersecurity/us-charges-russian-israeli-dual-national-tied-lockbit-ransomware-group-20这类恶意软件通常通过用户无意点击恶意广告而悄然植入设备。许多员工习惯在个人设备上保存公司账号凭证，或在办公设备上浏览非工作相关网站，一旦感染，攻击者便能一次性窃取数十个凭证——这些凭证往往可直接访问企业的IT基础设施、人力资源系统、财务平台及其他敏感业务系统。更值得警惕的是，攻击者通常不会独自使用这些“窃取日志”(stealer暗网已形成成熟的“自动贩卖市场”(autoshops),如知名的RussianMarket,以及各类私密即时通讯群组，每年交易数以百万计的日志数据，利润丰厚。攻击者通常不会独自使用这些“窃取日志”(stealerlogs),而是将其转售牟利。如今，暗网已形成成熟的“自动贩卖市场”(autoshops),如知名的RussianMarket,以及各类私密即时通讯群组，每年交易数以百万计的日志数据，利润丰厚。据Verizon《2025年数据泄露调查报告》显示，30%的窃取日志来自企业授权使用的设备环境⁴。若将这一比例放大到数千万份日志总量，意味着企业正面临一个巨大的安全盲区。2023年和2024年发生的多起重大事件也印证了这一点。例如，在对2024年Snowflake客户环境遭攻击事件的调查中发现，犯罪分子所使用的被盗凭证，很多最初正是通过员工终端上的信息窃取型恶意软件获取，并随后在黑市购得⁵。尽管信息窃取型恶意软件已成为现代企业环境中最突出的风险暴露面之一，但许多企业仍未部署有效的监测机制。那些已投资建设威胁情报能力的安全团队，能够及时识别这一新兴威胁，并开始引入新的控制措施、技术手段和流程来降低风险。而缺乏成熟威胁情报体系的组织，则错失了关键洞察，难以有效预防、检测和响应此类感染事件。尽管信息窃取型恶意软件已成为现代企业环境中最突出的风险暴露面之一，但许多企业仍未部署有效的监测机制。高效威胁情报的最佳实践信息窃取型恶意软件的泛滥，凸显了建立一支能快速感知并响应威胁变化的情报团队的重要性。要确保威胁情报项目真正见效，必须采取一套紧密围绕企业自身威胁模型的整合性方法。这包括：制定高度具体的优先情报需求(PIRs)、将不同类型的威胁情报与关键业务目标挂钩、广泛征询利益相关方意见，并最终将情报转化为可执行的行动。4VerizonBusiness,"2025DataBreachInvestigationsReport(DBIR),data-breach-investigations-report.employee-data-breach-linked-to-snowfPIRs是实现有效威胁情报的枢纽。高质量的PIRs需经过深思熟虑，必须根植于企业独特的威胁模型、风险管理策略和整体业务目标。制定和优化PIRs并非一次性任务，而是一个持续迭代的过程，需要与企业各层级的利益相关方保持密切协作。PIRs应覆盖威胁情报的四大类型：战略型、战术型、作战型和技术型。有效的PIRs通常具备以下特征：一个准确反映企业真实风险优先级的威胁模型，能帮助业务与风控负责人制定出与风险目标一致的PIRs。例网络威胁情报形式多样，其内容和重点取决于企业的风险状况、威胁模型及自身能力。通常可分为四类：战略型、战术型、作战型和技术型。将情报按此分类，并分别对接具体的业务与风控需求，有助于高效管理整个情报项目。战略威胁情报是一种高层级的分析，旨在为企业领导者提供对整体威胁态势的洞察。它审视地缘政治、经济、监管以及行业特定等因素，这些因素可能影响网络威胁发生的可能性、潜在影响或演变趋势。其目标是为长期业务战略、风险管理优先事项以及投资决策提供依据。示例示例威胁情报团队为一家金融服务公司的董事会准备了一份一至两页的简报，分析朝鲜方面如何利用洗钱手段针对该行业，并概述了潜在的应对措施。战术威胁情报将攻击者的战术、技术与过程(TTPs)转化为近期可执行的防御措施。它评估最有可能影响企示例示例在发现员工个人设备上信息窃取型恶意软件(infostealermalware)显著增加，并已捕获存储的企业凭证后，该企业终止了自带设备(BYOD)访问权限，并缩短了其身份与访问管理(IAM)平台中会话Cookie与战术情报不同——后者评估广泛的外部TTPs及其对安全控制设计的影响——运营情报则基于与特定组织资示例示例一家中型医院将其安全运营与暗网监控订阅服务集成。当员工被泄露的凭证出现在犯罪交易市场时，该情技术威胁情报由机器可读或接近机器可读的工件组成，防御人员可将其直接集成到安全工具中，用于丰富遥测数据、指导威胁狩猎，并自动阻断恶意活动。其最常见的形式包括失陷指标(loCs),例如文件哈希值、恶意域名、IP地址和URL,以及检测规则(如YARA规则、Sigma规则)和ATT&CK映射等。技术型情报通常被输入安全信息与事件管理(SIEM)系统、安全编排自动化与响应(SOAR)平台，以及终端检测与响应 示例示例一个威胁狩猎团队将一组经验证、归属于ShinyHunters威胁组织的失陷指标(loC)导入SIEM和EDR系统。他们运行定向查询，并对匹配的域名和哈希值实施临时阻断；随后，针对任何命中结果进行关联分推动企业各层级利益相关方参与要构建有效的威胁情报项目，必须充分考虑更广泛的业务背景。例如，一家计划进行战略性扩张或准备采用人工智能等新技术的组织，可能需要制定高度具体的优先情报需求(PIRs),以契合其特有的企业风险。然而，在中大型企业中，网络安全团队往往无法全面掌握利益相关方所做出的关键战略决策。因此，在制定某已具备成熟威胁情报体系的银行计划未来三年进军东南亚市场，重点在泰国、越南和马来西亚推出金融与投资类移动应用。为支撑这一战略，其安全团队需围绕四大情报类型——战略、战术、运营和技术——制定针对性的PIRs。战略情报优先需求识别与网络安全相关的监管与合规风险。战术情报优先需求识别针对东南亚地区金融服务应用的账户接管(AccountTakeover,ATO)攻击所使用的战术、技术与过程(TTPs),并提供潜在的应对措施；同时判断是否存在区别于北美趋势的独特攻击手法。·关键绩效指标(KPI):至少记录30项与账户接管攻击相关的TTPs运营情报优先需求识别一家能够提供泄露的会话Cookie和凭证的威胁情报供应商，以实现对感染信息窃取型恶意软件(infostealermalware)用户的密码自动重置和会话轮换。技术情报优先需求识别一个面向特定地区或国家的失陷指标(loC)情报源，可与客户会话数据进行交叉比对，以发现潜在的账户接管攻击行为。·利益相关方：IAM团队、安全运营团队、反欺诈团队·成功标准：部署可实际用于标记存在欺诈交易风险账户的loC情报源·关键绩效指标(KPI):情报源中失陷指标(loC)的平均时效性(即loC的平均年龄)制定PIRs的目的不仅在于降低网络风险，更在于支持更广泛的业务目标。本例中，银行的扩张战略直接驱动了情报工作的方向——所有PIRs均围绕“防范账户接管”这一核心风险展开。这种与业务深度绑定的做法，不仅让威胁情报团队的工作与组织关键目标高度对齐，也清晰展现了其投资回报(ROI)。要实现这一点，安全团队绝不能孤岛运作。威胁情报必须与安全运营、事件响应、威胁狩猎乃至红队演练紧密融合，形成闭环，才能持续创造价值。安全团队绝不能孤岛运作。威胁情报必须与安全运营、事件响应、威胁狩猎乃至红队演练紧密融合，形成闭环，才能持续创造价值。向不同层级的利益相关者传递威胁情报，是情报团队面临的核心挑战之一——既要避免技术术语堆砌，又要确保信息足以支撑决策。面向董事会：聚焦治理与战略董事会关注的是企业治理、监管变化与长期战略风险。情报内容应高度概括、情境化，技术细节越少越好。准备材料时可自问：·这份情报是否有助于战略决策?·信息颗粒度是否适中，足以支撑判断?·能否删减或简化内容以提升清晰度?示例示例威胁情报团队每半年向组织提交一份摘要报告并进行演示，内容涵盖对本机构影响最大的威胁载体、当前风险状况、关键缓解措施，以及威胁态势和监管环境的重要变化。面向非技术高管(CEO/C-suite):连接安全与业务与董事会类似，首席执行官(CEO)及其他C级高管既需要战略层面的指导，也期望获得更贴近运营的背景信息，将威胁直接关联到业务本身。在这一层级，威胁情报应将安全态势与企业的核心优先事项——如业务增长、市场拓展、客户信任和监管风险——紧密联系起来。其目标是帮助高管清晰认识到不断演变的威胁可能对战略、投资和品牌声誉产生的影响，同时避免陷入不必要的技术细节。准备材料时可思考：·情报是否说明了当前威胁对收入、客户信心或市场地位的潜在影响?·风险是否以业务语言(而非技术术语)表达?·是否提供了明确的行动选项供高管抉择?示例示例威胁情报团队每季度向高管层提供一次简报，重点介绍针对本行业的勒索软件攻击趋势，概述潜在的财务与声誉影响，并根据企业的威胁模型提出增强韧性的投资选项。面向总监与技术管理者：深入细节，提供可执行建议面向总监或技术经理级别的受众准备威胁情报报告，通常是威胁情报团队最得心应手的场景。这类报告应内容详实、上下文完整，并在可能的情况下附上原始信息来源。同时，报告还应包含基于最新TTPs(战术、技术与过程)、已知安全事件以及具有重大风险的技术指标，提出具体、可操作的安全控制建议。示例威胁情报团队每周为漏洞管理团队编制一份报告，内容涵盖近期披露的漏洞、勒索软件团伙当前重点利用的高危漏洞，并提供相应的修复优先级建议。引入置信度评估：提升情报可信度与决策质量在准备任何类型的威胁情报时，借鉴美国情报界(U.S.IntelligenceCommunity)的最佳实践会大有裨益。该机构被广泛视为情报收集、分析与分发的黄金标准⁶。美国情报界在分析中常用的一种方法是明确标注置信度区间⁷,具体包括：高置信度(Highconfidence):判断有充分的技术情报支持，信息来源可靠，结论很可能正确。中等置信度(Moderateconfidence):信息来源可信，但可能存在来源缺口或可信度问题，应考虑其他可能的解释。低置信度(Lowconfidence):分析师仅掌握来自单一、不可靠或部分可靠的来源信息，应将其视为一种可能性而非确定事实。这种方法能显著提升对事件可能性和判断可信度的表达清晰度，尤其适用于无需提供详细操作信息的场景。随着企业安全成熟度的提升，威胁情报项目不能停留在依赖专家经验的手工操作阶段。要真正实现价值规模化，必须构建可重复、可扩展、合规且高度自动化的体系。这不仅涉及技术选型与流程设计，更关乎法律边界、跨团队协同以及对新兴技术(如Al)的审慎应用。许多威胁情报项目建立在手工流程之上，高度依赖领域专家的知识与经验，却缺乏明确、规范化的流程。许多组织的威胁情报项目起步于分析师手动收集、研判和分发信息，这种方式在初期可行，但难以随业务增长而扩展。为实现规模化，企业需：持续更新PIRs:PIRs必须动态调整，反映组织威胁模型的变化(如新市场进入、新技术采用)和战略方向的演进。标准化流程：将情报收集、分析、验证、分发和响应固化为标准化工作流，减少对个别专家的依赖。模块化架构：设计松耦合的情报处理管道，便于未来集成新数据源或自动化能力。威胁情报工作通常涉及人工渗透暗网论坛、黑市交易平台、被盗数据及其他敏感区域，这些活动可能给企业及员工个人带来法律风险。在构建或完善威胁情报项目时，与法务顾问保持紧密协作至关重要，因为一旦未能遵守适用的隐私保护、合规要求及刑事法律，可能导致各类处罚。InternationalStudies(CSIS),13April2021,/an为实现这一合规对齐，企业应考虑以下措施：·如有需要，尽早并持续地与公司法务顾问合作，确保遵守所有当地及区域的法律法规和情报相关要求；·参考具体指导文件，了解如何在不违反刑事或民事法律的前提下合法地收集、分析和安全分发威胁情报，例如美国司法部发布的《在线收集网络威胁情报及从非法来源购买数据时的法律考量》。在许多情况下，威胁情报团队会与联邦执法机构建立直接合作关系，尤其是在需要频繁提交犯罪报告，或掌握有助于执法调查的独特信息时。与联邦或国家级执法机构(如FBI、INTERPOL、当地网安部门)建立正式沟通渠道，便于及时上报犯罪线索并获取支持。提升威胁情报的运营实效选择合适的技术来支撑威胁情报工作可能令人望而生畏。安全能力成熟度较高的企业通常会采购多个平台，以降低遗漏关键事件的风险；而安全预算有限的组织则往往选择单一平台以优化成本，但不得不接受该产品在功·基于优先情报需求(PIRs)制定需求清单——PIRs和组织的安全成熟度在平台选型中起着关键作用。在审阅PIRs的过程中，识别尚未满足的技术需求，并据此起草初步的功能需求清单。在销售流程早期就将该清单提供给潜在供应商，避免在无法满足核心需求的平台上浪费时间。·广泛征询内部团队意见——安全、反欺诈、治理/风险/合规(GRC)等团队可能各有未被满足的需求。应主动与这些团队沟通，全面收集来自组织不同部门的技术要求。·开展深入评估与概念验证(ProofofConcept,PoC)——在筛选出符合部分或全部技术要求的候选供应商后，应部署概念验证环境进行测试。评估维度应包括：是否满足技术需求、供应商协作是否顺畅、对定制化或支持请求的响应是否及时有效。·深度集成平台能力——选定供应商后，下一步是将平台深度融入团队工作流和运营流程。大多数威胁情报平台都提供应用程序接口(API)和面向多团队的自动化剧本(playbooks)。组织应围绕平台的核心功能，构建自动化机制、标准化流程和协同工作流，以充分释放其价值。/criminal-ccips/page/file/1252341/dow说明覆盖深度暗网、犯罪论坛、恶意软件遥测、品牌监控、地域/行业相关性数据质量与相关性准确性、时效性、TTP映射、归属分析、误报率集成与自动化能力API成熟度、与SIEM/SOAR/IAM/EDR的原生集成、自分析价值情境化报告、关联PIRs与企业威胁模型治理与合规合法数据来源、隐私合规、可审计性商业条款与支持性价比、上线体验、分析师支持、客户成功团队成熟度威胁情报的手动方法只能实现线性扩展，而现代威胁情报团队需要的是指数级的扩展能力。因此，自动化很等即时通讯应用扩张，相关数据量呈爆炸式增长。通过采用自动化手段包括优先级排序模型、基于人工智能进一步提升情报成熟度，并显著缩短平均检测时间(MTTD)和平均响应时间(MTTR)。狩猎的失陷指标(loC)情报源，组织可以在已有成功实践的基础上进一步提升情报成熟度，并显著缩短平均检测时间(MTTD)和平均响应时间(MTTR)。人工智能(AI)既是推动威胁情报自动化的最具前景的加速器，也代表了一类新型风险。机器学习(ML)和生成式模型能够从嘈杂的数据流中提取微弱信号、聚类关联活动，并在大规模场景下提供上下文分析；但若部署不当，也会引入全新的攻击面(如数据投毒、模型窃取、提示注入)、合规与隐私泄露风险，以及治理债务。因此，将AI融入威胁情报项目必须依托一个跨职能的泄露身份信息的优先级解析对于大型企业而言，对泄露凭证和身份信息实现自动化响应，是构建关键防御层、实质性降低风险的重要手段。一种切实可行的方法是：通过自动化手段，对包含企业凭证的信息窃取日志(st·关键业务域名及单点登录(SSO)/身份提供商(IdP)端点(例如：、login.威胁情报优先级规则有助于安全团队将有限的时间和资源聚焦于最相关、最关键的威胁。优先级规则的示例·包含凭证的日志应视为最高优先级，立即触发事件响应剧本(playbook)。·包含低影响系统(如企业周边商品网站)凭证的日志可归类为中等风险，采用简化的修复剧本处理。初始访问代理(InitialAccessBrokers,IABs)利用被盗凭证、漏洞利用或钓鱼手段获取企业环境的初始访问权限，随后在地下犯罪生态系统中出售这些访问权限——通常以类似拍卖的帖子形式发布在黑客论坛上。值得注意的是，IAB往往不会直接点名被入侵的企业，而是提供一些高层级信息，如企业营收规模、所属行业和员工人数等。大语言模型(LLMs)为威胁情报团队开辟了全新的可能性：不仅能自动化数据采集，还能在大规模场景下自动完成数据上下文解析。大语言模型(LLMs)为威胁情报团队开辟了全新的可能性：不仅能自动化数据采集，还能在大规模场景下自动完成数据上下文解析。一个典型用例是利用LLM识别IAB发布的帖子，并协助处理和分析来自暗网、黑客论坛及其他来源的海量非结构化文本数据。这显著加速了传统上高度依赖人工、耗时费力的分析流程。泄露的凭证仍是攻击者最常利用的初始入侵途径之一，同时也为企业提供了通过自动化实现验证与修复的重要机会。通过与可信的威胁情报提供商建立合作关系，企业可在员工邮箱地址及凭证出现在犯罪市场或信息窃取日志(stealerlogs)时，及时收到告警。安全工程与身份管理团队可据此构建自动化工作流，实现以下·强制执行即时修复措施，如密码重置、强制登出或会话令牌吊销；·长期追踪凭证暴露趋势，以衡量安全控制措施的有效性。loC是威胁情报自动化中最成熟的形式之一，但许多组织仍难以从中提取实质性价值。挑战不在于获取指标本身，而在于筛选高保真度的情报源——既能增强检测能力，又不会因大量误报而压垮分析师。有效的loC自动化需要采取战略性的情报源选择与集成方法，包括：·优先选用与自身威胁模型一致、且能关联到具体威胁组织的loC情报源；·基于情报源可靠性、指标时效性及历史误报率，实施自动化评分机制；·设定指标衰减策略，自动弃用或移除过时指标，防止检测能力漂移(detectiondrift);·将loC与已知合法基础设施进行交叉比对，以降低误报率。衡量威胁情报项目的成效衡量威胁情报项目是否成功，常被认为极具挑战性，但实际上并非如此。当优先情报需求(PIRs)得到正确对齐时，其中便包含与企业可量化指标直接挂钩的具体关键绩效指标(KPls),从而能够以明确的投资回报率(ROI)来衡量成效。例如，如前文案例所示，一个负责防范针对金融机构客户账户接管(AccountTakeover,ATO)攻击的威胁情报团队，通常可以估算出每次账户接管事件造成的具体损失，并通过事后回溯分析，确定其缓解措施成功阻止了多少比例的此类攻击。然而，设定这些衡量指标本身可能是一项艰巨任务。如果设计不当，指标可能会激励与企业整体业务目标不一致、甚至相悖的行为。因此，组织必须审慎制定并验证所选指标的适用性，确保其真正驱动安全价值与业务目标的一致性。如果设计不当，指标可能会激励与企业整体业务目标不一致、甚至相悖的行为。因此，组织必须审慎制定并验证所选指标的适用性，确保其真正驱动安全价值与业务目标的一致性。设定有效衡量指标的三步框架如下：·将指标与现实世界的结果对齐：设计紧密反映组织核心目标的指标，这些目标应能带来最大程度的风险降低。例如，如果组织的威胁模型表明，企业面临的最大风险是账户接管攻击进而引发勒索软件事件，那么威胁情报团队就应围绕预防此类攻击来构建衡量指标。·纳入定性分析：情报工作的投资回报(ROI)可能非常显著,却难以完全量化。因此，在评估威胁情报ROI时，必须同时包含定量和定性指标。·将威胁情报目标与其他网络安全团队联动：当有效应用时，威胁情报应成为“威胁驱动型”网络安全体系的基础——即安全控制措施的设计与优化均基于威胁建模和对攻击者TTPs的最新情报。为体现其价值，威胁情报需明确关联到其他网络安全职能团队的绩效表现。例如，当情报用于优化某项现有控制措施时，应测量该控制在更新前后的有效性。这不仅验证了情报的实际影响，也强化了安全运营、身份与访问管理 (IAM)、事件响应等团队之间的协同一致性。可用于优化威胁情报项目的示例指标包括：·从情报收集到分发的时间(例如，战术情报目标：<24小时)·覆盖威胁模型中相关高优先级威