編輯導(dǎo)語(yǔ)：在BI系統(tǒng)里，經(jīng)常會(huì)遇到風(fēng)險(xiǎn)告警的場(chǎng)景，在這一類(lèi)場(chǎng)景中需要更加重視業(yè)務(wù)的管理以及產(chǎn)品流程，及時(shí)解決問(wèn)題；對(duì)于這種數(shù)據(jù)決策類(lèi)產(chǎn)品設(shè)計(jì)，我們應(yīng)該怎么做？本文作者分享了關(guān)于BI系統(tǒng)里的數(shù)據(jù)賦能與業(yè)務(wù)決策，我們一起來(lái)了解一下。

01?什么是風(fēng)險(xiǎn)告警？

風(fēng)險(xiǎn)告警是一個(gè)我們?cè)谑褂脭?shù)據(jù)過(guò)程中會(huì)遇到的比較常見(jiàn)的場(chǎng)景。我們今天詳細(xì)說(shuō)說(shuō)這類(lèi)場(chǎng)景如何進(jìn)行數(shù)據(jù)決策產(chǎn)品設(shè)計(jì)。

1. 業(yè)務(wù)風(fēng)險(xiǎn)管理角度

從業(yè)務(wù)風(fēng)險(xiǎn)管理的角度上，一般將風(fēng)險(xiǎn)管理分為事前管理、事中管理、事后管理。

• 事前管理，目的是預(yù)防事情的發(fā)生；
• 事中管理，目的是及時(shí)介入，避免事情變得更糟糕；
• 事后管理，目的是縮小已發(fā)生的問(wèn)題造成的影響面、降低影響程度。

從業(yè)務(wù)風(fēng)險(xiǎn)的角度，我們能夠理解風(fēng)險(xiǎn)告警的目的。

2. 產(chǎn)品角度

從產(chǎn)品角度上看在日常業(yè)務(wù)場(chǎng)景中，一般可以分為流程類(lèi)風(fēng)險(xiǎn)、總量類(lèi)風(fēng)險(xiǎn)。

• 流程類(lèi)風(fēng)險(xiǎn)，是流程監(jiān)控中常見(jiàn)的，比如事情應(yīng)該做而沒(méi)有做、延遲做了、出現(xiàn)了不應(yīng)該出現(xiàn)的事情（流程節(jié)點(diǎn)）。
• 總量類(lèi)風(fēng)險(xiǎn)，是水平監(jiān)控、質(zhì)量監(jiān)控中常見(jiàn)的，比如今天應(yīng)該完成多少，沒(méi)有完成；平時(shí)正常水平多少，現(xiàn)在監(jiān)控指標(biāo)超過(guò)了正常水平相當(dāng)比例。

從產(chǎn)品角度，我們能夠區(qū)分出我們遇到需求的是哪一類(lèi)問(wèn)題。

02 風(fēng)險(xiǎn)告警解決方案

知道了這兩種分類(lèi)，能夠幫助我們?cè)谛枨蠓治鲭A段，很快的鎖定住我們的目標(biāo)和大致的解決方案。

1. 一個(gè)例子

一家車(chē)聯(lián)網(wǎng)公司，最近想做一個(gè)用戶疲勞駕駛的風(fēng)險(xiǎn)告警，業(yè)務(wù)方設(shè)想的場(chǎng)景是，如果超過(guò)了交通法規(guī)規(guī)定的時(shí)間，就通過(guò)車(chē)聯(lián)網(wǎng)APP給用戶發(fā)出告警。

從風(fēng)險(xiǎn)管理的角度看，這個(gè)需求屬于是事后管理，因?yàn)闃I(yè)務(wù)希望是已經(jīng)發(fā)生疲勞駕駛，發(fā)出提醒。

從產(chǎn)品角度看，這個(gè)需求屬于總量類(lèi)風(fēng)險(xiǎn)（水平監(jiān)控），當(dāng)數(shù)據(jù)積累到一定值，發(fā)出告警，這個(gè)一定值，是交通法規(guī)規(guī)定的，所以是一個(gè)固定值。

弄清楚這兩點(diǎn)，我們的解決方案也大概有了個(gè)輪廓，采取策略方法，通過(guò)監(jiān)控持續(xù)駕駛時(shí)長(zhǎng)這個(gè)數(shù)據(jù)指標(biāo)，當(dāng)數(shù)據(jù)指標(biāo)到達(dá)閾值時(shí)，觸發(fā)告警。那么，我們產(chǎn)品方案的核心就是要弄清楚持續(xù)駕駛時(shí)長(zhǎng)這個(gè)數(shù)據(jù)指標(biāo)的計(jì)算邏輯，這個(gè)和車(chē)聯(lián)網(wǎng)采集上來(lái)的數(shù)據(jù)是什么樣高度相關(guān)，數(shù)據(jù)指標(biāo)邏輯選取是另一個(gè)話題，我們這里不展開(kāi)了。

用這個(gè)例子向大家說(shuō)明，一個(gè)數(shù)據(jù)相關(guān)的風(fēng)險(xiǎn)告警場(chǎng)景的需求分析大致是怎么做的。

表面上看，這個(gè)例子不太像BI系統(tǒng)干的活，更像是一個(gè)車(chē)聯(lián)網(wǎng)的應(yīng)用場(chǎng)景。事實(shí)上，如果要在一個(gè)BI看板里面進(jìn)行業(yè)務(wù)決策支持的應(yīng)用，他要面對(duì)的需求場(chǎng)景和解決方案都會(huì)更復(fù)雜一些。

之前的文章里我們提過(guò)，BI系統(tǒng)做數(shù)據(jù)決策之所以是一個(gè)比較難的問(wèn)題，是因?yàn)楝F(xiàn)實(shí)世界存在復(fù)雜性。

復(fù)雜性決定了在做數(shù)據(jù)賦能和業(yè)務(wù)決策相關(guān)的數(shù)據(jù)產(chǎn)品設(shè)計(jì)時(shí)，要避免『一刀切』的想法，避免『畢其功于一役』，避免設(shè)想自己的設(shè)計(jì)能夠『一次成功』，這是一個(gè)不斷調(diào)優(yōu)的過(guò)程（如果是一名策略產(chǎn)品經(jīng)理或者算法產(chǎn)品經(jīng)理，應(yīng)該能很好理解），調(diào)整好心態(tài)，我們開(kāi)始吧。

2. 背景數(shù)據(jù)做風(fēng)險(xiǎn)告警的幾種方案

用數(shù)據(jù)來(lái)做風(fēng)險(xiǎn)告警，大概有這么幾種方案：

• 數(shù)據(jù)+策略/規(guī)則
• 數(shù)據(jù)+數(shù)據(jù)挖掘/機(jī)器學(xué)習(xí)
• 數(shù)據(jù)+知識(shí)圖譜

本文從產(chǎn)品角度，給大家介紹需求場(chǎng)景如何與這些解決方案相結(jié)合。

03 風(fēng)險(xiǎn)告警實(shí)例

下面來(lái)看一個(gè)數(shù)據(jù)安全審計(jì)的例子。

1. 背景

現(xiàn)在，平臺(tái)已經(jīng)有了敏感字段管理，對(duì)于用戶的導(dǎo)出權(quán)限一般來(lái)說(shuō)不做限制，但是會(huì)去監(jiān)控用戶的導(dǎo)出操作與導(dǎo)出量行為，如果操作行為上看用戶的導(dǎo)出超過(guò)了正常業(yè)務(wù)需要，就屬于疑似異常導(dǎo)出，平臺(tái)要能識(shí)別這種異常并且發(fā)出風(fēng)險(xiǎn)告警。

這是一個(gè)我們通常會(huì)遇到的需求描述。表面上看，需求很明確，但仔細(xì)一琢磨，就會(huì)發(fā)現(xiàn)這個(gè)描述有很多模糊的地方。

這里面最大的需要明確的點(diǎn)，就是如何定義疑似異常導(dǎo)出的行為，即風(fēng)險(xiǎn)識(shí)別。

那么根據(jù)不同層次的需求，我們的解決辦法有相應(yīng)的不同：

業(yè)務(wù)側(cè)說(shuō)，我們有很明確需要監(jiān)控的重點(diǎn)表，根據(jù)之前的業(yè)務(wù)case，當(dāng)發(fā)生這些行為的時(shí)候（同一天內(nèi)多次導(dǎo)出不同查詢條件的同一個(gè)表的數(shù)據(jù)；同一天內(nèi)導(dǎo)出總數(shù)據(jù)量超過(guò)xxx條數(shù)）就是疑似異常導(dǎo)出。只要先識(shí)別出這些行為推送給我們，通過(guò)一些日志去判斷是否真的是異常就可以。

2. 明確需求

首先判斷，這是一個(gè)事后風(fēng)險(xiǎn)管控+總量類(lèi)風(fēng)險(xiǎn)（水平監(jiān)控）的需求，因?yàn)閷?dǎo)出行為已經(jīng)發(fā)生了；其次，我們判斷數(shù)據(jù)決策的要求水平，業(yè)務(wù)方對(duì)告警的精度要求不高，他們已經(jīng)有了明確的通過(guò)實(shí)際案例積累下來(lái)的規(guī)則，

數(shù)據(jù)要做的是什么呢？幫助業(yè)務(wù)方在進(jìn)行風(fēng)險(xiǎn)識(shí)別的時(shí)候提升效率、也就是篩選一個(gè)大面積的數(shù)據(jù)集，然后推送給業(yè)務(wù)人員進(jìn)一步識(shí)別。

3. 設(shè)計(jì)解決方案

1）確定初步方案

需求到這個(gè)程度大致明確了，我們可以使用數(shù)據(jù)+策略的產(chǎn)品解決方案。即統(tǒng)計(jì)每個(gè)用戶對(duì)監(jiān)控的表的單日導(dǎo)出次數(shù)，和每個(gè)用戶對(duì)監(jiān)控的表的當(dāng)日單出總量，兩者有一項(xiàng)超出閾值（或者同時(shí)發(fā)生時(shí)），將用戶信息及操作日志推送給指定的管理員用戶。

2）迭代

現(xiàn)在，來(lái)看一下迭代需求。

對(duì)接人反饋，第一期上線后，確實(shí)解決了大海撈針的問(wèn)題，但是現(xiàn)在公司規(guī)模擴(kuò)大了，數(shù)據(jù)量和數(shù)據(jù)分析人員增加，現(xiàn)在推送的疑似異常也多了很多，用戶已經(jīng)分析審核不過(guò)來(lái)了，能不能把風(fēng)險(xiǎn)比較高的給我們，低風(fēng)險(xiǎn)的那些就先給這些用戶做一些告警提示。

業(yè)務(wù)對(duì)接人還提出來(lái)一些想法，比如按照導(dǎo)出次數(shù)大小或者按照數(shù)據(jù)量大小去分這個(gè)風(fēng)險(xiǎn)高低，低風(fēng)險(xiǎn)可以等審核人員有空的時(shí)候進(jìn)行抽查。

首先通過(guò)判斷，這是一個(gè)迭代需求，需求還是事后風(fēng)險(xiǎn)管控+水平監(jiān)控。

然后通過(guò)分析，這些新增的內(nèi)容，是對(duì)于告警的精度要求提升了，說(shuō)白了，就是要降燥。

業(yè)務(wù)方給的解決方案是：通過(guò)對(duì)識(shí)別出的異常進(jìn)行分級(jí)，不同的級(jí)別對(duì)應(yīng)不同的處理辦法。怎么判斷我們能不能按照業(yè)務(wù)提出這個(gè)解決方案去做呢？

我們從產(chǎn)品發(fā)展的角度分析一下：

這個(gè)解決方案進(jìn)行了風(fēng)險(xiǎn)分級(jí)處理，不同級(jí)別風(fēng)險(xiǎn)，告警方式不同。這個(gè)思路肯定沒(méi)有問(wèn)題。

3）分級(jí)的問(wèn)題

在再進(jìn)一步看，如何分級(jí)，用什么原則去分級(jí)呢？我們發(fā)現(xiàn)業(yè)務(wù)提供的這個(gè)分級(jí)的策略比較剛性，如果用一個(gè)固定的數(shù)據(jù)指標(biāo)值，可能會(huì)有兩個(gè)問(wèn)題：

• 導(dǎo)出數(shù)據(jù)量和次數(shù)與風(fēng)險(xiǎn)閾值的關(guān)系，是和表本身存儲(chǔ)的內(nèi)容和數(shù)據(jù)量有關(guān)，也許不同的表閾值是不同的（意味著有巨大的維護(hù)規(guī)則的工作）。
• 隨著業(yè)務(wù)規(guī)模發(fā)展，存儲(chǔ)的數(shù)據(jù)量規(guī)模也會(huì)變化，即使同一個(gè)表，風(fēng)險(xiǎn)告警閾值很容易就會(huì)需要變更。

那么這個(gè)規(guī)則從擴(kuò)展性來(lái)說(shuō)，閾值不適合使用一個(gè)固定的值了，而是一個(gè)受到一些影響因素會(huì)發(fā)生變化的數(shù)。

經(jīng)過(guò)一番需求分析，發(fā)現(xiàn)業(yè)務(wù)對(duì)接人提供的解決方案思路是ok的，但是細(xì)節(jié)還需要進(jìn)一步去設(shè)計(jì)；那么這次產(chǎn)品迭代的目標(biāo)是就是需要在數(shù)據(jù)監(jiān)控的基礎(chǔ)上，動(dòng)態(tài)的去進(jìn)行風(fēng)險(xiǎn)分級(jí)。

有些小伙伴會(huì)說(shuō)，這個(gè)時(shí)候該算法工程師上啦！應(yīng)該讓算法同學(xué)出解決方案了。

我要說(shuō)，這個(gè)時(shí)候其實(shí)產(chǎn)品的核心邏輯還沒(méi)思考清楚，算法同學(xué)接到需求，只會(huì)丟給你一個(gè)白眼好嘛！

4）梳理核心邏輯

怎么去梳理這個(gè)核心邏輯呢？

我的答案是，要去思考這件事情的本質(zhì)是什么，抽象出來(lái)。我們要理解的事情是—風(fēng)險(xiǎn)告警推送給審核人員，他們到底在審核什么？

帶著這個(gè)問(wèn)題和業(yè)務(wù)人員交流，溝通后發(fā)現(xiàn)，審核要找出用戶是不是真的出于不好的目的（比如盜取數(shù)據(jù)）導(dǎo)出數(shù)據(jù)。那么，我們風(fēng)險(xiǎn)識(shí)別，就是去能夠識(shí)別用戶行為的惡意程度，而風(fēng)險(xiǎn)的分級(jí)，就是惡意程度的分級(jí)。

現(xiàn)在，需求轉(zhuǎn)化成為了一個(gè)相對(duì)定量的，評(píng)估用戶在平臺(tái)進(jìn)行數(shù)據(jù)導(dǎo)出或者查詢等一系列行為的惡意程度。惡意程度，如何量化？可以從結(jié)果去推導(dǎo)，用戶操作得到的數(shù)據(jù)結(jié)果整合后，如果這些內(nèi)容流出，對(duì)公司造成損失程度。

把惡意程度和損失程度做了一個(gè)對(duì)等變換，如何看損失程度呢？通過(guò)和業(yè)務(wù)方調(diào)研了解到泄露出去的數(shù)據(jù)，包含的內(nèi)容以及內(nèi)容的組合，如果會(huì)推算出一些不公開(kāi)的數(shù)據(jù)，或者通過(guò)單元數(shù)據(jù)加工可得到一些財(cái)務(wù)數(shù)據(jù)，這種就屬于損失比較高的了。

原來(lái)如此，不同損失程度其實(shí)和疑似泄露的數(shù)據(jù)集的特征有關(guān)系。這個(gè)數(shù)據(jù)集不一定是從有一個(gè)表導(dǎo)出的，也有可能是好幾個(gè)表數(shù)據(jù)組合的。和數(shù)據(jù)量明細(xì)也許不一定高相關(guān)（不同特征的權(quán)重是不一樣的）。

到了這一步，核心邏輯就整理出一個(gè)大概輪廓了：找到某個(gè)用戶一系列操作行為組合出的數(shù)據(jù)集的特征，與我們的目標(biāo)值（損失程度較高的數(shù)據(jù)集）特征，他們的相似程度，相似度越高，風(fēng)險(xiǎn)越高。

5）明確詳細(xì)方案

現(xiàn)在，產(chǎn)品思路理清楚了，我們可以去和算法同學(xué)討論，使用什么樣數(shù)據(jù)挖掘/機(jī)器學(xué)習(xí)的算法能夠達(dá)成需求目標(biāo)。當(dāng)然，還會(huì)遇到算法同學(xué)提出的一些別的問(wèn)題，需要共同討論再進(jìn)一步得出更詳細(xì)的解決方案。

好了，這個(gè)例子對(duì)于需求分析說(shuō)的比較詳細(xì)，通過(guò)對(duì)需求不斷抽絲剝繭，一步一步深入，最后得到一個(gè)解決方案。

未來(lái)會(huì)繼續(xù)對(duì)數(shù)據(jù)決策相關(guān)做探討。

作者用了一個(gè)虛擬的案例，或者說(shuō)一個(gè)思想實(shí)驗(yàn)，與實(shí)際上數(shù)據(jù)安全審計(jì)的類(lèi)似場(chǎng)景會(huì)有不同的地方，但是解決問(wèn)題的思路很值得學(xué)習(xí)和思考。

#專(zhuān)欄作家#

大鵬，公眾號(hào)：一個(gè)數(shù)據(jù)人的自留地。人人都是產(chǎn)品經(jīng)理專(zhuān)欄作家，《數(shù)據(jù)產(chǎn)品經(jīng)理修煉手冊(cè)》作者。

本文原創(chuàng)發(fā)布于人人都是產(chǎn)品經(jīng)理。未經(jīng)許可，禁止轉(zhuǎn)載

題圖來(lái)自Unsplash，基于CC0協(xié)議。