לוח מחווני כרטיס ציון ציות בזמן אמת מבוסס על ייצור משולב עם אחזור (Retrieval‑Augmented Generation)

מבוא

שאלונים אבטחתיים, רשימות ביקורת והערכת רגולציה מייצרים כמות אדירה של נתונים מובנים ולא‑מובנים. צוותים משקיעים שעות אינסופיות בהעתקת תשובות, מיפוי ראיות, וחישוב ציון ציות באופן ידני. לוח מחווני כרטיס ציון ציות בזמן אמת מבטל את החיכוך הזה על‑ידי שילוב שלושה מרכיבים חזקים:

Retrieval‑Augmented Generation (RAG) – סינתזה מבוססת LLM שמושכת את הראיות הרלוונטיות ביותר ממאגר ידע לפני יצירת התשובה.
גרף ידע דינמי – גרף מתעדכן באופן רציף המקשר מדיניות, שליטות, אסמכתאות, ופריטי שאלון.
ויזואליזציות מבוססות Mermaid – דיאגרמות אינטראקטיביות בזמן אמת שהופכות נתוני גרף גולמיים למפות חום, גרפי רדאר, ותרשימי זרימה.

התוצאה היא חלון ראייה יחיד שבו בעלי עניין רואים חשיפה לסיכון, כיסוי ראיות, וביטחון בתשובה עבור כל פריט שאלון, בכל מסגרת רגולציה ( SOC 2, ISO 27001, GDPR, וכו’).

במאמר זה נחקור:

ארכיטקטורת הקצה‑לקצה של מנוע הציונים.
כיצד לעצב פרומפטים ל‑RAG שמציגים את הראיות האמינות ביותר.
בניית מסלול גרף‑הידע המתעדכן עם מסמכי המקור.
רינדור ויזואליזציות Mermaid שמתעדכנות בזמן אמת.
שיקולי סקלינג, פרקטיקות אבטחה, ורשימת ביקורת קצרה לפריסה בייצור.

טיפ אופטימיזציית מנוע גנרטיבי – שמרו על פרומפטי RAG קצרים, עשירים בהקשר, ומעוגנים באמצעות מזהה ראיה ייחודי. זה ממקסם יעילות טוקן ומשפר את נאמנות התשובה.

1. סקירת המערכת

להלן דיאגרמת Mermaid ברמת‑העליון הממחישה את זרימת הנתונים משאלונים נכנסים אל ממשק הלוח המחווני החי.

  graph LR
    subgraph "שכבת קלט"
        Q[ "טפסי שאלון" ]
        D[ "מאגר מסמכים" ]
    end

    subgraph "ליבת עיבוד"
        KG[ "גרף ידע דינמי" ]
        RAG[ "מנוע RAG" ]
        Scorer[ "מחוון ציות" ]
    end

    subgraph "שכבת פלט"
        UI[ "לוח מחווני" ]
        Alerts[ "התראות בזמן אמת" ]
    end

    Q -->|קלט| KG
    D -->|פענוח ומידול| KG
    KG -->|אחזור הקשר| RAG
    RAG -->|תשובות נוצרות| Scorer
    Scorer -->|ציון וביטחון| UI
    Scorer -->|חריגה מהסף| Alerts

רכיבים מרכזיים

רכיב	מטרה
טפסי שאלון	קבצי JSON או CSV שמוגשים על‑ידי ספקים, צוותי מכירות, או auditors.
מאגר מסמכים	אחסון מרכזי למדיניות, מדריכי שליטה, דו״חות ביקורת, וקבצי ראיות PDF.
גרף ידע דינמי	גרף Neo4j (או דומה) המודל את הקשרים שאלה ↔ שליטה ↔ ראיה ↔ תקנה.
מנוע RAG	שכבת אחזור (vector DB) + LLM (Claude, GPT‑4‑Turbo).
מחוון ציות	מחשב ציון ציות מספרי, מרווח בטחון, ודירוג סיכון לכל שאלה.
לוח מחווני	UI מבוסס React שמציג דיאגרמות Mermaid וויז’טים מספריים.
התראות בזמן אמת	Webhook ל‑Slack/Email לפריטים שנופלים מתחת לסף מדיניות.

2. בניית גרף הידע

2.1 עיצוב הסכמה

סכמה קומפקטית אך מבטאת משמרת זמני תגובה נמוכים. הסוגים הבאים של Node/Edge מתאימים לרוב ספקי SaaS:

  classDiagram
    class שאלה {
        <<entity>>
        string id
        string text
        string framework
    }
    class שליטה {
        <<entity>>
        string id
        string description
        string owner
    }
    class ראיה {
        <<entity>>
        string id
        string type
        string location
        string hash
    }
    class תקנה {
        <<entity>>
        string id
        string name
        string version
    }
    שאלה --> "דורש" שליטה
    שליטה --> "נתמך_על‑ידי" ראיה
    שליטה --> "מתאים_ל" תקנה

2.2 מסלול הקליטה

Parse – השתמשו ב‑Document AI (OCR + NER) כדי לחלץ כותרות שליטה, הפניות לראיות, ומיפויים לרגולציות.
Normalize – המר לכל ישות לפי הסכמה הקנונית; דוגלוך לפי hash.
Enrich – הפק embeddings (למשל text‑embedding‑3‑large) לכל שדה טקסט של כל Node.
Load – Upsert Nodes ו‑Relationships ב‑Neo4j; אחסן embeddings ב‑vector DB (Pinecone, Weaviate).

Airflow DAG קל משקל יכול לתזמן את הצינור כל 15 דקות, ולהבטיח רעננות כמעט‑ריאל‑טיים.

3. Retrieval‑Augmented Generation

3.1 תבנית פרומפט

הפרומפט צריך לכלול שלוש секציות:

הוראה מערכתית – מגדירה את תפקיד המודל (Assistant ציות).
הקשר משחזר – קטעים מדויקיים מגרף הידע (מקסימום 3 שורות).
שאלת משתמש – פריט השאלון שיש לענות עליו.

You are a Compliance Assistant tasked with providing concise, evidence‑backed answers for security questionnaires.

Context:
{retrieved_snippets}
--- 
Question: {question_text}
Provide a short answer (<120 words). Cite the evidence IDs in brackets, e.g., [EVID‑1234].
If confidence is low, state the uncertainty and suggest a follow‑up action.

3.2 אסטרטגיית אחזור

חיפוש היברידי: משלב התאמה מבוססת BM25 עם דמיון וקטורי כדי להביא גם שפה מדיניות מדויקת וגם שליטות קשורות סמנטית.
Top‑k = 3: מגביל ל‑3 ראיות כדי לשמור על ניצול טוקן נמוך ולשפר את יכולת המעקב.
סף ציון: משלים קטעים עם דמיון < 0.78 כדי למנוע פלט רועש.

3.3 חישוב ביטחון

לאחר הייצור, מחשבים ציון ביטחון כך:

confidence = (avg(retrieval_score) * 0.6) + (LLM token log‑probability * 0.4)

אם confidence < 0.65, ה‑Scorer מסמן את התשובה לבחינה אנושית.

4. מנוע חישוב הציון

ה‑Scorer ממיר כל שאלה עם תשובה לציון מספרי בטווח 0‑100:

מדד	משקל
שלמות תשובה (הימצאות השדות הדרושים)	30 %
כיסוי ראיות (מספר מזהי ראיות יחודיים)	25 %
ביטחון (ביטחון RAG)	30 %
השפעת רגולציה (מסגרות סיכון גבוה)	15 %

הציון הסופי הוא סכום משוקלל. בנוסף, מחולל דירוג סיכון:

0‑49 → אדום (קריטי)
50‑79 → כתום (מתון)
80‑100 → ירוק (צייתן)

דירוגים אלה מוזנים ישירות לתצוגת הלוח המחווני.

5. לוח מחווני בזמן אמת

5.1 מפת חום מבוססת Mermaid

  graph TB
    subgraph "SOC 2"
        SOC1["שירותי אמון: אבטחה"]
        SOC2["שירותי אמון: זמינות"]
        SOC3["שירותי אמון: סודיות"]
    end
    subgraph "ISO 27001"
        ISO1["A.5 מדיניות אבטחת מידע"]
        ISO2["A.6 ארגון אבטחת מידע"]
        ISO3["A.7 אבטחת משאבי אנוש"]
    end
    SOC1 -- 85% --> ISO1
    SOC2 -- 70% --> ISO2
    SOC3 -- 60% --> ISO3
    classDef green fill:#c8e6c9,stroke:#388e3c,stroke-width:2px;
    classDef amber fill:#fff9c4,stroke:#f57f17,stroke-width:2px;
    classDef red fill:#ffcdd2,stroke:#d32f2d,stroke-width:2px;
    class SOC1 green;
    class SOC2 amber;
    class SOC3 red;

ה‑Dashboard משתמש ב‑React‑Flow כדי לשבץ קוד Mermaid. בכל פעם שה‑backend מעדכן ציון, המחרוזת של Mermaid נוצרת מחדש והדיאגרמה נצבעת מיד, כך שהמשתמש רואה תצוגה ללא השהייה של מצב הציות.

5.2 גרף רדאר לפיזור סיכון

  radar
    title פיזור סיכון
    categories אבטחה זמינות סודיות שלמות פרטיות
    A: 80, 70, 55, 90, 60

הגרף מתעדכן בזמן אמת באמצעות ערוץ WebSocket שמזרים מערכי מספרים מעודכנים מה‑Scorer.

5.3 תבניות אינטראקציה

פעולה	אלמנט UI	קריאת Backend
צפייה בפרטים	לחיצה על נוד במפת חום	משיכת רשימת ראיות מפורטת עבור שליטה זו
שכתוב	תיבת עריכה אינליין	כתיבה ישירה לגרף הידע עם רישום עקבי
הגדרת התראה	מחוון סף סיכון	עדכון כלל התראה במיקרו‑שירות Alerts

6. אבטחה ומשילות

הוכחת אפס‑ידע (Zero‑knowledge proof) לאימות ראיות – שומרים hash SHA‑256 של כל קובץ ראייה; מחשבים ZKP בעת גישה כדי לאמת שלמות ללא חשיפת תוכן.
RBAC (Role‑Based Access Control) – מדיניות OPA מגבילה עריכת ציון למשתמשים מורשים בלבד, בעוד צפייה פתוחה יותר.
רישום ביקורות – כל קריאת RAG, חישוב ביטחון, ועדכון ציון נכתבים ללוג בלתי‑ניתן לשינוי (לדוגמה Amazon QLDB).
מגורי נתונים – Vector DB ו‑Neo4j יכולים לרוץ ב‑EU‑West‑1 עבור עמידות GDPR, בעוד ה‑LLM מופעל במופע עם קצה פרטי.

7. סקלינג המנוע

אתגר	פתרון
תפוקת שאלונים גבוהה (10k+ ליום)	פריסת RAG כ‑container ללא‑שרת מאחורי API‑Gateway; auto‑scaling לפי מדד זמן תגובה.
ריענון embeddings (מדיניות חדשה כל שעה)	עדכון אינקרימנטלי של embeddings – רק מסמכים שהשתנו מעודכנים, וה‑embeddings הקיימים נשמרים במטמון.
שיהוי הלוח	דחיפת עדכונים באמצעות Server‑Sent Events; קאשינג של מחרוזות Mermaid לכל מסגרת לשימוש חוזר מהיר.
ניהול עלויות	שימוש ב‑embeddings קוונטזיים (8‑bit) וביצוע קריאות LLM במאגרים של עד 20 שאלות כדי להפחית עלויות.

8. רשימת ביקורת ליישום

הגדרת סכמה של גרף הידע וייבוא מאגר המדיניות הראשוני.
הקמת vector database והצבת צינור חיפוש היברידי.
יצירת תבנית פרומפט RAG ושילובה עם ה‑LLM הנבחר.
יישום נוסחת חישוב הביטחון וסף ההתרעה.
בניית מחוון ציות עם משקלים מותאמים.
תכנון UI בריאקט עם רכיבי Mermaid (מפת חום, רדאר, זרימה).
קונפיגורציית WebSocket לערוץ עדכונים בזמן אמת.
הטמעת RBAC ותיווך רישום ביקורות.
פריסה לסביבת staging; ביצוע load test של 5 k QPS.
הפעלת webhook Slack/Teams להתרעות על חריגות מדיניות.

9. השפעה בעולם האמיתי

פיילוט אחרון בחברת SaaS בינונית הראה ירידה של 70 % בזמן המוקדש למענה לשאלונים של ספקים. הלוח המחווני בזמן אמת צפה רק שלוש פערים סיכון גבוהים, מה שאפשר לצוות האבטחה לנתב משאבים ביעילות. בנוסף, מנגנון האזעקה שהוגדר על‑ידי ביטחון‑RAG מנע פרצה של ציות על‑ידי איתור חסרה של אסמכתא SOC 2 48 שעה לפני ביקור ביקורת מתוכנן.

10. שיפורים עתידיים

RAG פדרלי – אחזור ראיות מארגונים שותפים ללא העברת נתונים, בעזרת חישוב רב‑צדדי מאובטח.
UI גנרטיבי – מאפשר ל‑LLM ליצור דיאגרמות Mermaid ישירות משאלת טבעית “הצג לי מפת חום של כיסוי ISO 27001”.
חיזוי ציות – הזנת ציוני ציות היסטוריים למודל סדרת‑זמן לחזות פערי ציות עתידיים.