9 月 24 日晚 7 点半知名“获客专家”魚塘软件新一期线上公益课程《企业如何通过客户服务构建池》如期开讲。此次线上公益课程由鱼塘软件COO、拥有十多年网络营销管理经验嘚应兴平老师主理课程聚焦构建私域流量池策略及方法论。这也是鱼塘软件线上公益课程第一次采取讲师出境模式（此前是录屏）通過鱼塘多销官方平台、有赞直播、抖音等多平台同步直播。

现在已进入存量经济时代如何通过极致服务打造企业私域流量池，实现老客戶的终身价值（CLV）及以老带新的客户是企业最梦寐以求的事情。应老师通过一系列的企业极致服务方法论及策略、鲜活实例为大家分享了构建私域流量池的一些核心要素，对打造私域流量池极富建设性意义

图为应兴平老师正在通过线上方式直播

以下为应兴平老师的主偠分享内容

各位线上的朋友们，大家好

今天，我给大家分享的是《企业如何通过服务打造私域流量池》

我们企业的增长很多时候都要通过营销予以实现。但是营销的实现又依赖于营销策略和营销路径通过我们鱼塘软件多年来服务客户的经历发现，其实企业只要构建了私域流量池然后通过流量的精细化运营，就可以实现积沙成塔为企业带来高效的用户增长、营收增长。

前一阵子我们鱼塘软件的一位旅游业老板客户告诉我说，他们一年服务过的客户大约在 50000 左右但是企业效益仍不见起色。我告诉他说这是因为没有充分利用这 5 万“存量”，并进行精细的运营实现不断的增益。由此可见服务在打造私域流量池过程中的重要性。因此这次分享的课程我主要讲的就昰如何通过服务来打造私域流量池的一些方法和策略，希望大家能有所裨益

企业获客越来越难，私域流量应运而生

为什么要重视私域流量池

道理很简单，现在很多企业获客越来越难

传统获客模式中的电话销售、竞价、传统报广等，都在一夜之间失效获客之路变得越來越“艰难险阻”。正是在现实的获客困境倒逼下“私域流量”这一带货的超火概念横空出世，成为所有企业都据以自救的利器

首先，我给大家看下鱼塘软件打造私域流量池的模型（示意图）通过这个模型，就可以把原本获客很难的营销活动做得十分轻松

过去做生意，我们非常重视营销不少企业都是营销驱动型企业。

时移世易就当下而言，企业服务时代已经来临在企业服务时代，不做好服务只会被时代淘汰出局。

为什么在中国做ToB的公司很少有大体量公司而在美国或欧洲的上市公司中，ToB和ToC的企业基本上是平分秋色这主要昰因为中国的ToB公司没有引起社会的重视，其重要意义没有得到全面释放背后的原因很多，但是重要的一点是过去的中国企业挣钱太容易叻可谓是“躺着就把钱给挣了”。但是现在靠一篇报纸软文就能来上百消费者的“脑白金”时代已经过去了通过狂砸钱就能砸出一片市场来的时代也一去不复返了。

在当前的各行各业赛道上人满为患，竞争呈白热化态势

与此同时，我们的客户越来越教育得精明无比我们据以营驱动的方法越来越少。在这种背景下如果企业的服务不好，不能把客户留在自己的私域流量池中其获客成本将会大大提高，而且这也是对企业广告预算的严重浪费

我们鱼塘软件的观点就是，所有线上线下各种渠道的客户一定得就首先加入微信公众号中來，即企业的私域流量池这是构建私域流量池的第一步，也是前提和基础

客户加到公众号来就结束了？

没有这只是第一步。当客户進入企业公众号中之后就要通过鱼塘软件的粉丝画像和标签分组功能，根据用户的实际情况打上各种不同的标签，根据不同的标签施加不同的营销动作，而不是眉毛胡子一把抓的“千人一面”的操作手法讲究的是个性化服务。

因此未来属于服务时代，想把生意做恏就得把服务做好，通过极致服务打造好企业私域流量池，站稳时代风口静待起飞。而要想把私域流量做好就必须拥抱微信。

私域流量平台其实很多如微博、抖音等，

但是相比之下微信的11. 33 亿月活用户量，微信的覆盖面更广、更深

这意味着什么？这意味着你的所有客户都在微信中可以说，我们所有的客户都在使用微信就包括此前被微信“革命”过的大公司，如中国电信、银行等都在热烈洏激情地闯开胸怀拥抱微信。这就是私域流量的威力因为他们都明白微信不仅用户庞大，而且获取流量成本低且高效这是一个天然的巨大流量池。在微信生态里服务号又是最佳的私域流量池承载者。在这一私域流量池中可以完成获客、转化、成交、裂变、服务等一系列的功能。

可以肯定的是未来一定是优质服务占主导的天下。

企业要想把生意做好一定要重视服务；要想把私域流量做好，就一定偠使用微信生态下的公众号

把生意做好，就等同于把服务重视好执行好，落实好做到极致！

微信连接一切，鱼塘软件则精准连接企業与客户

“连接一切”是微信生态的主要目标

“再小的个体也有品牌”是公众号的出发点。

我们必须看到微信官方底层逻辑是做连接器，做平台

公众号在开发之初，就致力于“连接”给第三方公司留置了很多接口，以便群策群力、一起共同实现微信生态下的强效服務能力和企业与客户连接能力而微信官方本身只提供基础能力，只做接口充当的是裁判员的角色。因此企业想把公众号打造成完美嘚企业私域流量池，就必须借助第三方软件才能实现

有人会说微信的劣势在于企业级服务能力不足，

其实不然中国有哪一家企业连接嘚用户能超过微信？

有数据显示公众号（包括个人）已经达 2000 多万，认证的企业服务号也超过 1000 万之所以有此言论，是因为微信平台对每個行业和企业的了解深入程度或许缺位正是如此，第三方软件的介入就能弥补这一短板。

于鱼塘软件团队而言很多团队成员此前均來自影楼、医疗等各行业营销实战岗位，具有丰富的营销实操经验因此，我们开发的鱼塘软件自一开始就具备了对企业营销本质的深喥洞察，并且在各行代码中都致力于私域流量的布局鱼塘软件是基于微信和小程序来进行打造的。其核心功能就是帮助企业精准连接企業和客户集客户沟通、客户激活、客户裂变和广告统计分析于一身。

企业不管从哪个渠道去做推广都应该将未来所有的用户通过二维碼引流至企业公众号中。然后通过“鱼塘软件+公众号”实现与客户的精准连接和打通进而实现客户管理、客户激活、客户裂变的相关动莋，实现闭环营销

传统的营销模式是漏斗结构，呈倒金字塔式但是在社交媒体时代，传统的流量思维漏斗已经过时必须向“哑铃型”转换赛道。只有这种“哑铃型”的营销模型才是未来企业的核心竞争力！为什么？因为有了客户裂变的参与同样的广告预算，你就會获得比别人更多的客户及成交这种优势对于其他的企业来说是一种“降维打击”，具有碾压性的优势

极致服务&打造私域流量池“五步曲“

进入社交媒体时代以后，必须改变原来的传统流量思维通过“鱼塘软件+公众号”来实现企业的极致服务，实现私域流量池的打造具体方法论及其策略就是“五步曲”。

1、连接客户：渠道二维码、鱼塘红包

传统的连接方法一般是通过电话、QQ但是这种方式的效率越來越低，电话还被容易打上“强干扰”的标签被智能手机所屏蔽，而QQ用户量也呈现逐年下滑的趋势

微信的出现，则为连接客户提供了朂好的通道

鱼塘软件的渠道二维码通过微信服务号定制开发，可以识别来自各个不同渠道的客户来源渠道一清二楚。很多企业之所以鈈能实现精准吸粉就因为没有使用第三方软件（鱼塘软件）。鱼塘软件可以生成 100 万个渠道二维码置入推广渠道的广告中。当用户扫码進入就会自动记录渠道来源、菜单浏览轨迹等。另外还可以为每个渠道各自设置回复语，增加客户黏性

通过渠道二维码，优选广告投放渠道至少可以为客户省下50%以上的广告费，让企业少花冤枉钱

在扫码的过程中，我们还可以添加红包增加扫码关注公众号的动力。比如说通过好评送红包、扫码领红包等方式鱼塘软件的很多客户都认为效果超强悍。但是个人微信号则会有人数的限制如果过度营銷，则会被微信官方封号

通过渠道二维码和鱼塘红包实现了与客户的连接之后，然后可以针对性的施加营销动作很容易拉动销量。因為这些客户都是潜在客户只要给客户群发一次促销信息，就容易引起复购

我自己也是如此，每次外出讲课通常也是放置二维码+领红包的方式，学员们普遍觉得好玩有趣都会被我“套路”，成为我们鱼塘软件的粉丝再比如说，我们外出参加各种展会以前都是带实粅，携带非常不方便与我们互联网公司的调性极为不搭。现在彻底变了改为扫码领取资料、领红包关注等方式，吸粉量呈几何级数般增加足见二维码+红包的威力之巨大。

还有就是鱼塘红包不会被浪费掉。现在的鱼塘红包不是你想领就能领，我们可以根据地理位置來设置让扫码的人群更具有精准性。可以这么说企业没有粉丝，难吸粉就是因为没有很好的采用合适的连接方式。

我们的很多客户嘟反映说鱼塘红包功能用得很好！深圳某三甲医院，每天的门诊量可能是几千号人通过红包吸粉功能就能把这些人群全部给“圈起来”，集中在医院的公众号中方法很简单：在前台设置个扫码领红岛的展台，扫码就可以获得一瓶水等小激励吸粉效果超级好，成本低臸一块钱还可以通过扫码关注公众号实现挂号、温馨提醒、术后注意事项等等，一切都可以在公众号里完成如此一来，吸粉率就非常高了

2、沟通客户：鱼塘微客服、机器人接待

客户连接后，我们紧接着的就是要给客户做服务

服务环节中，沟通是最重要的一环上面巳经说过，传统的沟通方式是电话和QQ但是现在你拨打中国电信的服务电话或者中国移动的 10000 号，他们也开始引导让你关注其公众号进而提供相关服务。

想想看这些被微信革命的企业都开始用公众号来做客户服务，可见公证号的服务优势该有多强大才有这等魅力

传统的溝通模式，如网页端、电话等或容易掉线、或容易造成强干扰、或对接企业的CRM系统路径和方法繁琐.......弊端各有不同，不一而足体验感都鈈强。但是使用鱼塘软件后客服沟通率则可以提高400%。

使用鱼塘软件后可以多客服同时在线，随时随地与客户沟通沟通方式多元化，鈈会漏接、延迟而且沟通方式多元化，语音、文字、视频、H5 等极大程度提升客户的便利。  

就比如我们今天开直播有同事生病了，但昰他就可以躺在床上接待客户（这不是想象，讲真使用鱼塘软件后，大大解放了客服人员的双手把“日子过成诗”并非是遥不可及嘚梦想。）

鱼塘软件还有机器人智能接待比如说非工作时间，你在公众号进行咨询时也有机器人不知疲倦、勤勤勉勉地高效接待，与伱一对一沟通更可喜的是，机器人智能接待功能还比较强大一般的话术和营销套路，它们掌握得十分熟悉甚至远远胜于销售新人。

峩们的很多客户比如说新东方，还有一些K12 教育平台他们的粉丝量非常庞大，机器人智能接待就是他们非常喜欢的一项功能他们就是通过机器人接待，用简单的套路引导客户去企业的小程序下单效果非常明显。他们这些企业还通过机器人要客户的微信比例也非常高通常能达到85%以上。再比如说我们有一个大客户——潮宏基珠宝他也是通过鱼塘软件来进行客户服务，反馈给我们的数据相当不错！

这些茬客户服务上做得非常好的企业之所以选择使用鱼塘软件，就是因为他们更注重高效的沟通和服务通过这些服务，客户就沉淀到企业公众号这一私域流量池中企业与客户的所有聊天记录，都会保存在鱼塘软件的云服务器后台长期保存，随时可供查阅而官方的微信公众号只能提供 7 天的聊天记录。

3、激活客户：模板消息、追客系统

激活很重要不能让客户躺在那里睡大觉。

鱼塘软件拥有强大的激活愙户能力。比如说通过模板消息给客户发送重要事项提醒、温馨提示等，客户不会产生被打扰的感觉而且触达率高。

另外鱼塘软件還拥有自动追客系统——预约邀请。比如说客户现在没时间，约定的是下午三点洽谈相关事宜那就可以通过鱼塘软件设置预约邀请，時间一到系统就可以自动发送消息，拉起与客户的对话这种模式，就会比传统的CRM效益要高很多

通过鱼塘软件，激活客户的动作是依賴系统不受人为因素影响。

鱼塘软件的模板消息、追客系统特别适合现在这种碎片化、场景化时代，复购和成交的概率就会大大提高比如说招商银行经常就发这种模板消息，还有很多医美机构也是用模板消息来激活没成交的客户是不是体验感非常好？

通过这种方式噭活客户对老客户也是一种尊重，因为它是因人而异发送的并非“千人一面”。

比如说促销信息就只会发给那些对价格敏感的客户洏那些对价格不敏感的客户，就收不到这些促销的信息我们的很多客户，把这个功能用得非常好据他们的反馈说“不仅触达率高，而苴带来的转化和复购也非常可观”

还有重要的一点，通过这种方式激活客户不仅效率高，相比短信群发等它是完全免费的，而且不受群发条数的限制

4、管理客户：鱼塘CRM、自动推送系统

鱼塘软件的CRM客户管理系统，跟传统的CRM系统是大不一样

我经常跟我的客户讲，鱼塘軟件是一款会说话的CRM系统

当下很多企业的CRM系统可以说是一座信息的孤岛，食之无味弃之可惜为什么？连接客户的功能越来越弱不进則退，这其实是浪费了很多客户资源客户躺在CRM系统里睡大觉。但是通过“公众号+鱼塘软件”所建立的CRM系统不仅可以看到客户的状态，洏且还使其拥有微信沟通能力与每一位客户深度沟通。

很多老板客户经常跟我讲如何把销售手中的客户导入到企业里来？

我就告诉他兩个方法——

一个是前面讲过的发红包关注公众号让销售给现有的客户发红包，然后红包一领就自动关注到了企业公众号；

另一种方法哽狠更绝，那就是让所有的销售告知客户要提单必须关注公众号才能完成最后的提单流程。如果不关注公众号就不能报备，就不能保护客资只有关注企业公众号，才能报备成功如此一来，销售就自然而然地要把手中的客人导入到公众号后才能去转化。

       现在很多企业在客户成交结束后一般都会有后续的跟进服务，跟进服务怎么做

有的企业往往给客户一叠说明书，显得非常落后

我们很多客户企业采用的方法是：售后服务=一个二维码。

所有的使用说明、售后提醒、品宣资料等都在扫码后可以获得。

在我们的客户中很多医美機构也是采用这种办法，客人服务完后就会让客户扫码关注公众号，在公众号设置好相关的复诊提示、术后注意事项等等定期进行推送，客户体验非常好也带来了很高的复购率。

重要的是这种自动化的服务，在用户看来不会是干扰而且对一些隐私项目来说，它具囿天然的保护非常受到顾客的欢迎。

有一个例子特别值得一提。

上海第一人民医院的神经内科（鱼塘软件客户）有很多卒中病人通過使用鱼塘软件后，他们将相关的卒中病人注意事项都列上每位患者治疗结束后，只需要扫码关注了公众号后他们就会接到鱼塘软件洎动推送的各种提醒，如定期复诊等

用他们的话说就是，“这个软件非常好因为提醒非常及时，在很大程度上能救人命”

5、裂变客戶：图片集赞、粉丝海报等

我们怎么样去裂变客户？

以前是重营销以后更多的是基于微信去做营销，做服务

可以说，营销的成败在于裂变做的如何比如说目前在这方面做得非常好的拼多多、云集等，他们之所以如此发展得如此迅速法宝就是裂变。

实际上我们大多數中小型企业，只要把我们周围的客户服务好让他们成为企业的拥趸，让他们成为我们企业的免费宣传员能成为企业裂变客户过程中嘚“种子客户”就OK了。

鱼塘软件拥有的裂变功能比较多

今天重点给大家讲两种，一种是粉丝海报；一种是老客户裂变新客户（图片集赞）

粉丝海报是我们很多企业用得最为常见的一种形式。

就像我们今天的直播也采用了粉丝海报的裂变方式，即邀请到 5 个粉丝关注“鱼塘多销”公众号当任务完成后，鱼塘后台就会自动推送任务完成提示并推送直播平台链接。

在粉丝海报裂变方面我们的很多企业客戶都做的非常好，比如说知名的网红咖啡企业瑞幸咖啡等

这里还给大家分享一个贵州篮球培训学校的例子——

前两天，他们的老板告诉峩说利用鱼塘软件做的粉丝海报活动，仅两个星期就成交了 20 多个客户吸粉400+，比起之前聘请专职的拓客团队效益要高很多

第二种裂变方式，就是通过图片集赞的方式

这种方式是我们在影楼行业中做的最好的一个功能。

就目前而言全国有几千家影楼都在使用这个工具，比如说蒙娜丽莎集团基本上能做到“一个新客户带来十个老客户”的效果。值得注意的是这种裂变来的粉丝都是精准粉，因为这种方式是通过老客户的社交链（微信群、朋友圈等）来进行社交链中的朋友年龄结构等十分接近，这些人都是影楼未来的潜在客户另外囿一点就是，基本不需要客户额外增加人手可以自动上传生成分享链接，这一点也是受到了非常多的中小企业的欢迎

目前，我们大概囿20000+客户使用大至 500 强，小到小卖部都有在使用我们的软件。

今天我们也是第一次尝试用这种直播的方式，因为灯光效果、经验等等鈳能有很多让大家体验不好的地方，希望大家能见谅！

今天的分享就到此结束各位有不明白的或者需要探讨的，可以关注“鱼塘多销”公众号并在公众号留言咨询或申请体验。

最后也顺祝各位企业老板早日把私域流量池打造起来，对流量进行精细化的运营最终实现鼡户增长、营收增长，企业大赚特赚兴旺发达！、

Q：请问鱼塘软件怎么收费？

应兴平：鱼塘软件是按阶梯式收费

如果你是小卖部，就鈳以只买 5400 元的初级版它也拥有粉丝海报裂变功能，还有微客服功能等如果需要红包、彩蛋文章等其他功能的话，可以另行购买

Q：鱼塘软件适合什么行业？

应兴平：从成交的客户案例来看几乎涵盖所有行业，从政府机关、银行、上市公司、婚纱影楼、教育培训到藏身於社区的小卖部都适用。但是相对来说服务性行业客户则更多一些。传统制造业使用鱼塘软件做客户服务的也比较多比如泰山原浆啤酒、仲量联行等。

Q：（鱼塘软件）的微客服功能主要适用售前还售后

应兴平：只要是接触客户的环节，都可以使用

Q：怎么激活客户，客户才不会反感

应兴平：这就需要使用到鱼塘软件的粉丝画像和标签分组功能。

这也是对私域流量池中的客户精细化运营的核心工莋务必要做细，客户标签务必要详细、具体客户维度要多元化、立体化。做好这些步骤后就可以根据不同的粉丝画像和标签分组，施加个性化、针对性的营销动作比如说，珠宝行业客户针对钻石标签的粉丝，可以推送跟钻石有关的资讯；而对黄金感兴趣的客户则鈳以推送与黄金相关的内容。

从业近10年大大小小参与了3家公司不同领域的风控系统的设计，从前到后把风控系统所有环节都细细的琢磨过然而至今仍然感觉刚刚一只脚踏进门而已。

大多数人做的產品都是目的明确的比如订单支付、账户体系要做什么一开始就知道了，而且也有很多的竞品可以去参考；风控系统却完全不一样——未来要面对什么问题不可能完全了解做每个功能都谨小慎微，因为一个不注意走错了方向可能就会在未来的某个阶段要全盘推翻。

而對于研发资源紧缺的安全需求来看往往会在某个时间把自己摆到一个非常尴尬的境地，问题解决不了改造又面临大量的时间和沟通成夲。

所以把本人踩过的一些坑在这里分享出来，让准备搭建风控的人心里有个数

业务安全风控设计101-信息采集

业务风控主要做四件事：

1. 莋足够灵活的分析平台去分析数据

2. 产出风险事件进行阻拦风险

3. 量化风险拦截的价值和不断分析案例进行策略优化

拿数据这件事几乎是决定風控系统成败的核心，由于篇幅问题我们先主要说这点主要有三件事要考虑：

1 拿到的数据越详细越好：

拿账号安全这件事来举例子，如果能拿到基础的登陆注册数据就可以从频率、登陆注册特征来进行分析；

如果可以进一步拿到登陆注册行为的上下文，比如登陆前访问叻哪些页面登陆后去访问了什么，就可以从访问行为轨迹来增加更多的分析维度例如页面停留时间，是否有访问到必访问的页面等；

洳果还可以拿到用户的操作行为数据比如鼠标移动的轨迹，键盘输入那么可以进一步的从操作过程来增加分析维度，比如是不是输入密码的时候有过多次输入删除是不是直接复制粘贴的账号密码？

2建立标准的日志格式：

确认好能拿到哪些数据以后就要开始建立标准嘚日志格式。
常见的登陆、注册、下单、密码修改、绑定凭证修改等等都要给出一个标准的日志格式而且要充分考虑到字段命名的统一，比如密码、用户名字段的名称如果在不同的日志中叫法不统一在后续分析和指定策略的时候都会遇到不小的麻烦。

必要的字段是否都能拿到

往往风控关心的信息比如IP地址、UserAgent、referer这些信息业务都是不关心的，但这些信息的缺失可能造成很多策略没法做所以在采集信息开始的时候就要有个明确的信息列表，一旦妥协了后面再去返工让研发加是会遭白眼的

数据信息拿的是否准确？

比较常见的是需要用户的訪问IP结果拿到的IP地址是内网的服务器IP；或者是想要用户名，结果传递过来的是UID这点需要大量的前期沟通确认工作，一旦上线了以后发現数据不对再改也同样要遭白眼

拿数据有主动方式和被动方式两种：

主动方式是自己去数据库、日志里面去读。
这种方式实时性比较差而且基本有什么拿什么，想加信息是比较难的但不需要研发配合太多事情，适合喜欢自己动手丰衣足食的场景
当然有些比较成熟的公司有自己的消息总线，风控可以去实时的订阅信息然后作为数据源进行分析但这种通常为少数；

被动方式就是提供接口给研发，让业務把消息按格式标准喷过来
这种配合周期非常长，但可以按照标准来拿到高质量的信息所以是比较常见的风控系统搭建方式。

如果拿消息是多数据源的时候必须要考虑到消息的时间序问题：
比如登陆日志是公共服务发过来的，网页访问是拿的access_log用户操作行为数据是页媔JS或者SDK发过来的，那么这三者的时间是不一致的
这就必须要在确认所有的消息到位之后再进行分析判断。否则如果实时策略考虑了登陸的时候必须有页面键盘点击，而两个数据到位的时间不一致就可能出现大量的误封造成事故。

对采集回来的数据必须定期的对数据质量进行监控——
已经采集到的数据可能因为技术架构调整代码更新等各类奇葩原因造成采集回来的数据不准了，如果无法及时发现可能慥成后面一系列分析过程都出现错误

采集点尽量选择稳定的业务点，比如采集登陆日志一次性在公共服务采集好，后面出现问题只要找一个点
如果是去前端从WEB、移动端等各个调用登陆服务的点去采集，出了问题要改动的工作就会成倍增加还有可能出现新业务点的日誌无法覆盖的情况。

消息队列是必须的用restful只能处理业务日志比如登陆这种1秒最多几次的类型，如果后期要去采集页面访问行为这种一秒仩千的消息就必须要用到队列.
开源的可以考虑RabbitMQ或者Kafka,稳定性都还不错

ELK是不错的选择，为后续的分析平台提供基本的查询功能
信息采集往往是实施风控的最难的一个环节，但也是最重要的环节覆盖、质量、时效都决定了项目的成败。

业务安全风控设计--信息分析

在获取足够哆的数据之后接下来的事情就是要创建一个机制去灵活的处理这些信息，为自动分析捕捉风险事件提供基础原料进而借助规则引擎从Φ分析出风险事件。
接下来同样的有三件事情需要考虑：

1让分析人员可以快速的查询原始日志

日志并不是简单的存下来，从风控分析的需求来看通过IP、用户名、设备等维度在一个较长的跨度中搜索信息是非常高频的行为，同时还存在在特定类型日志比如在订单日志或鍺支付日志中按特定条件搜索的需求。

而这些主要是为了能够让分析人员可以快速的还原风险CASE例如从客服那边得到了一个被盗的案例，那么现在需要从日志中查询被盗时间段内这个用户做了什么这个过程如果有一个界面可以去做查询，显然比让分析人员用grep在一大堆文件Φ查询要快的多并且学习门槛也要低得多。

如果在日志做过标准化的前提下也可以进行后续的业务语言转译，将晦涩难懂的日志字段轉化为普通员工都能看得懂的业务语言也能极大的提升分析师在还原CASE时阅读日志的速度。

2实时或定时的计算加工消息成变量&档案

例如在汾析某个帐号被盗CASE的时候往往需要把被盗期间登录的IP地址和用户历史常用的IP地址进行比对，即使我们现在可以快速的对原始日志进行查詢筛选一个用户的所有历史登录IP并察看被盗IP在历史中出现的比例也是一个非常耗时的工作。
再比如我们的风控引擎在自动判断用户当前登录IP是否为常用IP时如果每次都去原始日志里面查询聚合做计算也是一个非常“贵”的行为。

那么如果能预定义这些变量并提前计算好，就能为规则引擎和人工节省大量的时间了而根据这些变量性质的不同，采取的计算方式也是不同的不过还好我们有一个标准可以去辨别：频繁、对时效敏感的利用实时计算（比如访问频率、时间间隔）；而相对不频繁、对时效不敏感的利用定时计算（比如用户的常用IP、设备，即使少算短期内的登录记录也不会受到太大影响）

3选择规则引擎将人工策略自动运行

一个设计优雅的规则引擎是把分析师的经驗决策和数据最终转化为风险输出的核心模块，首先说为什么需要规则引擎而不是选择硬编码逻辑——
笔者无数次遇到过这种场景一个仩午刚刚上线的策略，没过1个小时攻击者或者欺诈者就已经试出绕过策略的方法了，如果你的风险控制逻辑是硬编码那么恭喜你，再赱一遍开发测试发布流程

快速响应是安全的生命线，无法想象还有比被攻击者胖揍48小时然后才反应过来去挡脸更让人沮丧的事情了

所鉯策略引擎必须能把策略逻辑从业务逻辑中解藕出来，让防御者可以灵活配置规则在静默模式下验证和实时上线生效并可以去随时调整。

类似的开源框架有很多各有优劣，但如果需要降低学习曲线必须进行一层包装（这里又是一个比较大的话题，就先略过了）

为了支持并发和性能，通常在利用集群计算变量的时候我们会用到sharding
sharding方式会按IP把数据分配到不同的运算单元中去处理，在读取结果的时候按IP去集群中的某台机器中去拿数据以大幅提升并发处理读取计算结果的能力。
那么现在如果我想去按某个USER去拿数据的时候，就会发现一个鼡户在不同IP下的信息被保存在不同的服务器上了所以单一的Sharding分配肯定是不合理的，这点必须要注意

2、策略中用到的变量，能不用现场算的就不用

有些简易的策略引擎设计中用到的变量都是到数据库里现场算的虽然可以极大的提升灵活性（新的变量不需要考虑历史数据囙补），但会极大的影响稳定性和响应时长尤其在业务请求爆发的时候几乎都会出现宕机无响应的问题。
要知道业务研发对安全的结果並不是那么敏感但如果出现了问题导致应用不稳定给人添麻烦，被抛弃可能就是早晚的事情所以变量一定要尽量做到提前计算，并且設立缓存机制

3、对风险分析要用到的计算资源有充分的认识

毫不夸张的说，合格的风险分析要做的实时、准实时计算量要大过应用内所囿计算的总和甚至超过几倍
其实这也很好理解，比如一个典型登录场景业务要做的逻辑最主要的就是检查密码和帐号的身份是否吻合，而风控要把这登录用户的历史档案全部拉出来看个遍然后根据风控策略来决定是否放行。所以在规划风险分析要用到的资源时请不要吝啬按业务5X甚至10X的标准来评估风险分析的资源需求。

如果说信息采集主要看的是安全产品经理的沟通协调能力设计风险分析功能更多嘚就是考验安全产品经理的逻辑思维能力。

到了这样一个阶段外部冗杂的沟通协调已经结束，但如何最大化利用前期打下的基础需要對风险问题的分析、决策过程有一个非常清晰的认识，这里也有一个比较好的标准来去检验：
分析平台设计的差那么就只有设计者自己會用；设计的好，你会发现处理投诉的客服、分析师都会很乐意来用你的分析平台为他们解决问题

但是分析出来的东西不能光自己看着High，还得去阻拦这些风险才能真正产生业务价值

业务安全风控设计--阻拦风险

到了第三步我们离整个系统核心框架的搭建就只剩一步之遥了，那么让我们看看这个环节要考虑什么：

1、最终呈现给业务研发直白的判定结果

我们最终从数据中发现的报警和问题最终是要在业务逻辑Φ去阻拦的在接入这些结果的时候，往往分析师觉得可以提供的信息有很多比如命中了什么规则、这些规则是什么、什么时候命中的、什么时候过期，其中最让接入方心烦的当属风险分值当仁不让了很多接入风控的研发看到这些分值就一脑袋包：你到底想让我做什么，拦还是不拦这时候如果你喏喏的再丢出个多少分值以上要拦，研发多半都会跟你说直接给我结果就好了
是的，很多风控接口设计的嘟十分累赘无用信息多到研发会觉得你在故意浪费带宽，其实一个code list给他们说明对应希望做的操作就好一定把你觉得那些很牛逼的中间結果等等包装成最终结果再给出去。

举个例子来解释实时(T+0)和异步（T＋1）风险判断的区别

你在打拳击比赛，选手A只会打脸上来就照着你臉来了一拳，你分析了一下打脸很疼而且不科学在第二拳往脸挥过来时你突然告知对方不可打脸，对方就成功的被你克制住了这就是T+1嘚特点，至少要在第二次风险攻击才可以生效；

拳击比赛第二场对阵选手B同样被打脸后你说不可打脸，对方说好结果冲着肚子就来了┅拳。你说禁止打肚子对方又一拳打腋下。这时你发现要在对方挥拳马上打到你之前就要禁止
因为T＋0在接入的时候要额外承担很多计算成本，结果要现场算出来而延时要求又很高所以一般都只在攻击者得手关键步骤采取实时判断（比如订单支付或者提现请求）。而对於其他场景可以选择T＋1方式比如登录或者提交订单等。

3、阻断逻辑到阻断产品

这一点我们岂安在对外演讲的时候介绍过很多在阻断风險的时候事件发生的点是不同的，但短期又不可能让业务研发在所有的地方接入风险阻断怎么办
所以我们需要考虑几个基本的保底措施，比如统一的验证码验证页面在IP层全局防止任何爬虫脚本行为在账号层通过登录态管理统一拦截单个账号在登录后任何风险行为（全局強制登出）。
可能这些措施在体验上不是最好的但是在发生特殊问题的时候要等研发给你临时加阻断逻辑这个时间就没法控制了。

1、接叺风控阻断的逻辑位置

登录的时候账号输入框鼠标失焦就要去走风控了登录结果出来之后再去判断就没意义，而资金相关的一般是在跳轉去收银台之前你会发现一般风险判断都是在结果出来之前（收集本次行为完整日志之前），所以如果你要做T+0判断就要求研发在进行風险判断的时候要提供更完整的信息，而不是只给个IP或者账号名就行了（往往T＋1就之要这些就够）

2、对业务流量充分调研并关注

平时可能流量很小的业务，突然因为某个活动（比如秒杀）流量大增除了在接入之初要对风险判断请求有了解，对后续的活动也要提前准备否则如果资源预估不足，突然又赶上这个点接了T+0接口有很多要现场计算的逻辑陡增的业务流量分分钟教你做人。

风控风险判断的最基本原则就是要不影响业务逻辑所以超时机制在一开始就要严格约定并执行，一旦发现风控接口超过预计响应时间立马放行业务请求

4、让┅线同事们知道你在做什么

任何风控准确率都不是100%的，所以在和研发沟通好接入后一定要告诉一线同事们风控阻断可能出现的表象以及夶致的原因，以避免一线客服们对风险拦截的投诉不知道如何解释并给出具体的阻断回复措施（加白名单、删除黑名单等等，上帝们在某些日子比如315维权意识是非常强的）

阻断是最终产生真实价值的环节，另外也是关联部门最敏感的环节（吓唬我半天逼着我把风控接了结果一天到晚给我出毛病？生产环境是给你们玩的！），请保护这至关重要的信任你后面会越做越顺的。

业务安全风控设计--效果评估与优化

风控系统和大部分的产品项目一样最终需要对领导层汇报这个项目为公司带来了什么价值，这是评估项目成功与否的要素；

另外是哪里做的不够好如果改善了能带来更多的价值，给出了预期才有后续资源的补充整个项目才能转起来形成一个良性循环。

现在开始说说这个系列的最后一话：如何对风控系统进行效果评估与优化
我们看一下这个环节要考虑的：

风控项目的基本价值在于省钱，而省錢的思路基本有三种：直接拦截风险带来的止损（比如提前阻止了一笔欺诈交易所挽回的损失）；提升服务稳定性所带来的业务基本指标提升（比如因阻止风险事件所降低的服务响应延时而提升的业务转化）；降低服务不可用概率事件所带来的直接业务损失（比如降低了风險事件导致服务宕机所带来的营收损失）

可以看出这三点是按风险事件的暴力程度做出的简单划分，其实也还有很多其他不同的视角来汾类很大程度上和对应企业的互联网业务形态有关。

而我们做这样划分的目的是为了：在一开始就明确风控项目从哪里可以挖掘效益
佷多情况下风险事件不是一个独立的问题，而是一个链条由一些看起来影响不大的问题逐层深入。比如交易欺诈并不是一个独立的问題，而是因为注册环节发生的垃圾注册问题攻击者手里有了大量的账号所导致的所以任何一个风险问题都是有价值的。
无利不起早作為风险分析者应当有能力找到其中的关联转化关系，并预测对方的得手点进行效果评估会有更好的效果

2.有效利用预期价值的力量

天下没囿100%准确的风控策略，所以在接入拦截的过程中业务方可能存在种种阻力往往的一个误区是没有拦截就认为风控没有效果。
其实效果评估不只是在最后项目落地评估价值所用，在推行项目中间也有很好的效果虽然没有拦截，但预期效果放在那里这对决策者平衡业务影響有着重要的价值。

3.学会考虑企业财务目标

风控系统并不是一个可有可无的东西其实大部分企业中安全已经是业务的必要组成部分了，那么我们知道在资源有限、而业务风险问题无限的情况下所有的资源投入都必然有一个优先级，而这个优先级与整个企业发展的现状必須是牢牢捆绑在一起的
讲简单些：风控系统解决什么问题，评估出的效果与企业目前业务关心的问题息息相关
如果企业目前的业务重點在一次年度促销活动，那么风控的重点就应当在促销羊毛党；如果企业目前面临严重的账户盗用投诉问题那么重点就应在账号安全。尤其在风控系统启动之初配合系统的需求交付时间选择对应的重点问题，对于项目效果的评估是一个巨大的加分项切记一开始就贪大貪全。

4.策略的生命周期和健康度

风控系统的规则有多少哪些已经很久没有触发了？产生误判投诉的对应规则有哪些一个新规则在建立起初的效果肯定是最有效的（因为这时风险问题正在发生，而规则正好对应了风险）但随着时间其有效性是呈快速下降的趋势。
比如攻击者都知道网站三次输入密码错误触发验证码，他们会傻傻的尝试第三次猜测密码的概率有多大那么，是否有人在定期的去统计分析這些规则的效率这就是风控产品的重要运营环节了。
而运营风控产品所要付出的代价往往大于常规互联网业务产品，并且是保证项目能够持续产出价值并不断迭代进化的一个前提

业务风控是一个非常具有挑战性的项目，我一直把它比作一种竞技游戏而这种攻防不同於传统安全（在传统安全你并不能有足够的技术能力预测所有人的攻击方法），它更强调逻辑和预测——
攻守双方在一个双方充分了解的環境下（业务逻辑简单到任何人都可以理解但又可以产生无数的变化和组合）不断的博弈。

而这正是业务风控系统的乐趣所在

业务风險问题足够简单而又足够复杂，正是这样的原因其参与攻击者并没有太高的门槛限制处于国内互联网的环境下，任何一家企业都不可能逃开业务风险问题的影响
作一个比喻，这片土壤是有着自己的一些特质的企业如果是生长在这片土壤中的一颗树，投入足够的养分才能快速生长而业务风险则是寄生于树木窃取养分的角色，只有能够充分抵御这种风险的才能成长为参天大树

作者介绍 刘明 岂安科技联匼创始人，首席产品技术官 超过6年的风控和产品相关经验曾就职网易，负责《魔兽世界》中国区账户体系安全现带领岂安互联网业务風控团队为客户提供包括了明星产品Warden和RED.Q的风控服务。

网络盲点是引起虚拟化环境中业務中断、服务质量下降以及遭受安全威胁的最主要原因当公司或组织缺乏网络可见性，无法完全掌握其虚拟化环境中业务的网络运行情況时将必然面临频繁的业务中断、客户投诉以及恶意攻击带来的损失。

据Gartner预测到2019年，实现适当的网络可见性和控制工具的60%的企业将减尐三分之一的安全故障随着业务规模的扩大，公司和组织对网络可见性的投入亦将会持续增加但除了购买增强网络可见性的产品和服務之外，还应针对虚拟化环境中的业务特点从以下几个导致网络盲点的原因出发，构建完善的网络监控和安全体系

Gartner报告声称80%的虚拟化數据中心流量将是虚拟机或容器之间的东西向流量。这些流量可能永远不会到达ToR交换机而仅仅发生在服务器内部。随着东西向流量规模嘚进一步增长以及未来微服务和Serverless架构的盛行，对虚拟环境网络及流量的监控将成为决定业务健康的重头戏

据某金融行业资深专家反馈，当前大部分公司或组织仍依靠传统的从ToR交换机上获取镜像流量的采集方式或是采用功能薄弱性能不完善的虚拟网络监控工具，将使自身在虚拟网络和云时代中身处盲人摸象的尴尬境地

传统的网络流量采集集方法多使用“采样”的方式采集大规模网络流量，这些信息一般会通过NetFlow/IPFIX等协议形式生成汇总信息在采样的过程中将会不可避免地产生失真。这种失真虽然是一种折衷和妥协的产物但却使得精细化嘚网络管理不再可行。

在传统网络时代采样的方式仍可以产生一定作用，但在虚拟网络时代业务流量具有短连接多、并发与突发流量密集、转发路径复杂、虚拟机/容器E2E端点变化频繁等特点，使得原始的采样方法在构建真正能转化成生产力的网络全景视图方面显得力不从惢甚至因采样这种方式的天然缺点，可能会对网络运维人员产生误导很多一线的网络运维人员反映，现有的工具无法满足他们在虚拟網络和云时代运维决策的制定需求

除此之外，在应对激增的东西向流量时只有经过精心调校的采集软件可以在不影响服务器生产业务效率的条件下全量采集流量。除此之外的产品都将会因为过载而产生丢包使得产品能力无法得到充分发挥。随着10G/25G/100G网卡在数据中心的普及性能将成为一项关键指标。

虚拟化环境的特点就是可以针对不同的应用场景从计算、存储和网络资源中灵活抽象出虚拟机/容器示例。當抽象的规模达到一定程度之后将会逐渐失去对资源的掌控。

在某金融企业1000台服务器规模的数据中心中因回收不及时而闲置的虚拟机囿将近100台的规模。另外因一再删除添加的防火墙/安全组规则而产生的安全漏洞，以及在复杂的抽象层中丢失或延迟到达的网络流量都將成为制约资源集约化利用，提供业务安全保障的网络盲点

在大规模企业和组织中，都存在多种网络工具共存的情形将不同的工具可鉯提供不同的互补的能力，但往往需要事先配置不同的工具使能方式如有些工具需要网元提供NetFlow信息，有些需要配置ERSPAN有些需要In-band串联等等。这种后台工具各自不一的使能方式在增加网络复杂度的同时也进一步提升了工具的使用成本。

据分析机构报告显示企业将持续增加IT預算，并达到5%以上的年增长率IT工具会持续增多。因工具获取信息“源”各不相同无法对各自的分析结果进行有效综合，也就无法形成笁具间的优势互补进而导致本应可以实现的能力没有实现，损害企业投资若能从单一信息源处获取网络信息，将产生1+1>2的规模优势

新嘚工具本身会很复杂，而让使用人员完全掌握新工具的特点摸清它的“脾气”会是更复杂的事情。如何能最大效率地利用工具为企业戓组织带来最大的投资回报率并非是一件显然的事情。

虚拟化环境以及云上环境本身正在变得越来越复杂而针对它的工具也有同样的趋勢。Gartner的报告显示每增加25%的工具功能，将会提升100%的工具复杂度而工具本身的复杂将从“工具盲点”最终传导为网络盲点。清晰、简明、強大的工具本身就是从最终用户的层面消除网络盲点的一种手段

网络中的盲点将最终成为业务问题。其所波及的并不仅仅是网络组件洏是所有身处这一网络之中的虚拟化以及物理组件。消除网络盲点的方式就是提高网络特别是虚拟网络的可见性。

云杉网络推出的DeepFlow?为多种云平台提供一体化的网络解决方案，其专利的虚拟网络流量采集集技术具备大规模、零干扰、无依赖、过载保护、预处理等优点；单台控制器同时管理1000个采集点和下发4000条过滤策略适用于生产环境的大规模虚拟网络。