0%

模块 06 · 影响评估逻辑

模块 6 - 影响评估

核心定位: 安全影响评估是整个可观测性体系的"战略官",通过多维影响评估模型 + 实时更新 + 预测分析,为安全决策提供量化依据。


1. 功能概述

1.1 业务背景

当 SOC 分析师完成安全事件处置后,传统评估模式面临重重困境:影响评估依赖个人判断,同一事件不同人评估差异大;缺乏量化评估依据,评估结果偏差大;只看技术层面,不看业务影响,无法衡量真实损失;事件处置后未更新评估,影响范围扩大不自知。

核心问题矩阵:

问题 现状 影响
评估靠经验 影响评估依赖个人判断 同一事件评估差异大
数据缺失 缺乏量化评估依据 评估结果偏差大
维度单一 只看技术层面,不看业务 无法衡量真实损失
更新滞后 事件处置后未更新评估 影响范围扩大不自知

1.2 设计目标

目标 量化指标 价值
多维评估 评估维度从 1维 → 5维 +400%
量化评估 评估准确率从 60% → > 90% +30%
实时评估 评估时间从 1小时+ → < 5min 12x 提速
预测能力 预测准确率从 0 → 80% 新能力

1.3 设计原则

  1. 量化优先 — 建立客观的量化评估标准,减少主观判断
  2. 多维覆盖 — 技术+业务+声誉+合规+经济,五维全覆盖
  3. 实时更新 — 事件演变过程中实时更新评估
  4. 预测前置 — 预测事件潜在影响,支持前瞻性决策
  5. 损失量化 — 估算事件可能造成的财务损失

2. 功能架构

2.1 整体架构

graph TB I1["技术指标\\n系统/日志"] & I2["业务指标\\n交易/服务"] I3["舆情指标\\n媒体/社交"] & I4["合规记录\\n法规/合同"] I5["财务数据\\n损失/成本"] --> M1 & M2 & M3 & M4 & M5 M1["技术影响评分"] & M2["业务影响评分"] & M3["声誉影响评分"] M4["合规影响评分"] & M5["经济影响评分"] --> C["综合影响指数"] --> P["趋势预测"] --> O1["评估报告"] & O2["损失估算"] & O3["决策建议"] style I1 fill:#e3f2fd,stroke:#1565c0 style I2 fill:#fff3e0,stroke:#e65100 style I3 fill:#e8f5e9,stroke:#2e7d32 style I4 fill:#fce4ec,stroke:#c62828 style I5 fill:#f3e5f5,stroke:#7b1fa2 style C fill:#fff,stroke:#1565c0,stroke-width:2px

2.2 数据流设计

sequenceDiagram participant EV as 安全事件 participant TM as 技术评估 participant BM as 业务评估 participant RM as 声誉评估 participant CM as 综合评估 participant RP as 评估报告 EV->>TM: 技术指标输入 EV->>BM: 业务指标输入 TM & BM->>CM: 多维评分 CM->>RP: 综合影响指数 RP->>RP: 生成评估报告

3. 核心功能模块

3.1 五维评估模型

维度 评估内容 数据来源 权重
技术影响 系统可用性、数据完整性、服务连续性 日志、监控、故障记录 25%
业务影响 交易损失、服务中断、业务中断时长 业务系统、交易记录 25%
声誉影响 品牌损失、媒体曝光、用户信任 舆情监控、客服反馈 20%
合规影响 监管处罚、法律诉讼、合规违规 合规记录、审计日志 15%
经济影响 直接损失、间接损失、恢复成本 财务系统、损失报告 15%

3.2 评估能力矩阵

能力 技术实现 输入数据 输出 准确率
量化评估 多维评分模型 多源数据 综合影响指数 90%
实时更新 流式计算 + 事件驱动 实时事件流 更新后评分 95%
趋势预测 时序分析 + 异常检测 历史数据 未来影响预测 80%
损失估算 财务模型 + 统计推断 损失数据 财务损失估算 85%

3.3 评估报告结构

{
  "impact_assessment_report": {
    "report_id": "IMP-2026-0601-001",
    "timestamp": "2026-06-01T12:00:00Z",
    "event_id": "EVT-2026-0601-001",
    "dimensions": {
      "technical": { "score": 0.75, "weight": 0.25, "weighted_score": 0.1875 },
      "business": { "score": 0.60, "weight": 0.25, "weighted_score": 0.15 },
      "reputation": { "score": 0.45, "weight": 0.20, "weighted_score": 0.09 },
      "compliance": { "score": 0.80, "weight": 0.15, "weighted_score": 0.12 },
      "economic": { "score": 0.55, "weight": 0.15, "weighted_score": 0.0825 }
    },
    "composite_index": 0.632,
    "trend_prediction": {
      "current": 0.632,
      "predicted_24h": 0.68,
      "confidence": 0.78
    },
    "loss_estimation": {
      "direct_loss": 125000,
      "indirect_loss": 380000,
      "recovery_cost": 95000,
      "total_estimated_loss": 600000
    },
    "recommended_actions": ["启动业务连续性计划", "发布用户公告", "上报监管机构"]
  }
}

4. 技术实现

4.1 评估技术栈

组件 选型 作用 关键配置
流式计算 Apache Flink 实时数据处理 事件驱动
多维建模 Python / scikit-learn 多维评分模型 权重可配
时序预测 Prophet / ARIMA 趋势预测 时间序列
财务建模 NumPy / Pandas 损失估算 统计推断
可视化 ECharts / Grafana 评估仪表盘 实时刷新

4.2 评估算法

算法 原理 应用场景 输出
加权评分模型 多维度加权汇总 综合影响指数计算 0-1 评分
时序预测 基于历史数据的趋势预测 影响趋势预测 未来评分
异常检测 统计异常 + 机器学习 异常影响识别 异常标记
损失回归模型 基于历史损失数据回归 财务损失估算 损失金额

4.3 技术选型

组件 选型 作用 关键配置
实时计算 Apache Flink 事件驱动的评估更新 < 1min 延迟
批量计算 Apache Spark 历史数据批量评估 离线分析
存储 TimescaleDB + Redis 时序数据 + 实时状态 高性能读写
可视化 Grafana 评估仪表盘 实时刷新

4.4 容灾设计

故障场景 影响 应对策略 恢复时间
流计算故障 实时评估中断 切换批量计算作为备份 < 5min
存储故障 评估数据丢失 Redis 持久化 + 定期备份 < 10min
模型服务故障 预测无法完成 切换备用模型实例 < 1min

5. 接口设计

5.1 评估启动接口

POST /api/v1/impact/start
{
  "event_id": "evt_20260601_abc123",
  "assessment_type": "full",
  "dimensions": ["technical", "business", "reputation", "compliance", "economic"]
}

5.2 评估状态查询接口

GET /api/v1/impact/{assessment_id}/status
{
  "assessment_id": "imp_20260601_001",
  "status": "in_progress",
  "completed_dimensions": ["technical", "business"],
  "pending_dimensions": ["reputation", "compliance", "economic"],
  "elapsed_time": "2m 30s"
}

5.3 评估报告查询接口

GET /api/v1/impact/{assessment_id}/report
{
  "assessment_id": "imp_20260601_001",
  "composite_index": 0.632,
  "dimensions": {...},
  "trend_prediction": {...},
  "loss_estimation": {...}
}

6. 量化指标

6.1 核心指标达成

指标 当前值 目标值 提升 状态
评估维度 1维 5维 +400% 🚧 进行中
评估准确率 60% > 90% +30% 🚧 进行中
评估延迟 1小时+ < 5min 12x 🚧 进行中
预测准确率 0 80% 新能力 🚧 进行中

6.2 性能指标

指标 目标值 峰值能力 状态
评估延迟 < 5min P95=4.8min
实时更新延迟 < 1min 45s
并发评估能力 50 events 55 events
系统可用性 99.9% 99.95%

6.3 业务价值

价值维度 传统方案 智能评估 提升
评估质量 主观判断 量化模型 +30% 准确率
评估效率 1小时+ < 5min 12x
决策支持 模糊估计 精准预测 损失估算
维度覆盖 1维 5维 +400%

7. 用户体验

7.1 安全分析师视角

阶段 用户行为 系统响应 效率提升
启动 选中事件,一键评估 自动触发评估流程 < 1s
查看 查看多维评分 五维雷达图可视化 < 100ms
预测 查看趋势预测 影响趋势折线图 < 100ms
导出 导出评估报告 PDF/HTML 格式 < 10s

7.2 管理层视角

功能 说明 用户价值
损失估算 量化财务损失范围 预算决策支持
趋势预测 预测未来影响 前瞻性决策
对比分析 与历史事件对比 行业基准参照
报告导出 高管汇报材料 汇报效率