隨(sui)著業務數字化變革(ge)的(de)(de)(de)加速，銀(yin)行業面臨的(de)(de)(de)內(nei)外部(bu)信息(xi)安全(quan)挑(tiao)戰愈(yu)發(fa)嚴峻，其中內(nei)部(bu)挑(tiao)戰主要(yao)源于(yu)(yu)銀(yin)行內(nei)控和各項管理要(yao)求(qiu)的(de)(de)(de)日益嚴格，尤其是近年來相關(guan)部(bu)門對(dui)(dui)于(yu)(yu)個人(ren)(ren)信息(xi)安全(quan)保護要(yao)求(qiu)的(de)(de)(de)不斷升級。相對(dui)(dui)而言，銀(yin)行對(dui)(dui)于(yu)(yu)內(nei)部(bu)人(ren)(ren)員(yuan)違規(gui)行為(wei)(wei)的(de)(de)(de)防范意識(shi)較為(wei)(wei)薄弱，對(dui)(dui)于(yu)(yu)拍(pai)照和抄寫內(nei)部(bu)信息(xi)等違規(gui)行為(wei)(wei)缺(que)少有效的(de)(de)(de)技術(shu)管理手段。雖然(ran)一些(xie)監控審計類的(de)(de)(de)產品可(ke)用于(yu)(yu)智能監測員(yuan)工行為(wei)(wei)，但欠缺(que)對(dui)(dui)系(xi)統內(nei)部(bu)數據(ju)的(de)(de)(de)審計能力，以及對(dui)(dui)于(yu)(yu)員(yuan)工行為(wei)(wei)與系(xi)統操作的(de)(de)(de)關(guan)聯分析，導致無法形成完整的(de)(de)(de)證據(ju)鏈。因此，如何(he)同步(bu)采集人(ren)(ren)員(yuan)行為(wei)(wei)和終端的(de)(de)(de)操作行為(wei)(wei)，并將這(zhe)兩種行為(wei)(wei)進行有效結(jie)合以快速阻斷違規(gui)行為(wei)(wei)信息(xi)，是業界(jie)亟待解決的(de)(de)(de)問題。

近期，上海浦(pu)東發展銀(yin)行(xing)信用(yong)卡(ka)中心(xin)(xin)(以下(xia)簡稱“浦(pu)發卡(ka)中心(xin)(xin)”)采用(yong)人(ren)工(gong)(gong)智(zhi)能(neng)(neng)和(he)計算機視覺(jue)技術研發了智(zhi)能(neng)(neng)動作(zuo)(zuo)(zuo)行(xing)為識別審(shen)計系統(tong)，實現了監控(kong)和(he)分析人(ren)員行(xing)為以及終(zhong)端(duan)敏(min)感(gan)操(cao)作(zuo)(zuo)(zuo)的(de)(de)聯合審(shen)計。這(zhe)一(yi)系統(tong)整合了多模態(tai)數(shu)(shu)(shu)據檢(jian)索技術，能(neng)(neng)夠捕獲員工(gong)(gong)在(zai)工(gong)(gong)作(zuo)(zuo)(zuo)過程中的(de)(de)異常行(xing)為，對(dui)員工(gong)(gong)可能(neng)(neng)訪問或處理的(de)(de)敏(min)感(gan)數(shu)(shu)(shu)據也同步進(jin)行(xing)內(nei)(nei)容識別監測。該系統(tong)適用(yong)于根據監管要求(qiu)和(he)行(xing)內(nei)(nei)制度(du)需要對(dui)PC終(zhong)端(duan)行(xing)為和(he)辦(ban)公人(ren)員動作(zuo)(zuo)(zuo)行(xing)為進(jin)行(xing)整體監控(kong)的(de)(de)高安(an)(an)全(quan)級別工(gong)(gong)作(zuo)(zuo)(zuo)場景(jing)，如容易造成企業信息(xi)或其(qi)他重要信息(xi)泄露(lu)的(de)(de)業務環境。尤其(qi)在(zai)《中華人(ren)民(min)共和(he)國個(ge)人(ren)信息(xi)保護法》頒布后，相關部(bu)門對(dui)于數(shu)(shu)(shu)據使用(yong)環節(jie)的(de)(de)要求(qiu)更加嚴格，銀(yin)行(xing)在(zai)數(shu)(shu)(shu)據操(cao)作(zuo)(zuo)(zuo)和(he)系統(tong)維護等關鍵領域的(de)(de)安(an)(an)全(quan)要求(qiu)更高。

智能(neng)動(dong)作行為(wei)識別(bie)審計(ji)系統采用(yong)SpringBoot、Kafka、Redis等主流技(ji)術(shu)，以確保高性能(neng)和(he)高并發(fa)處理。其中SpringBoot應用(yong)于Web后(hou)端搭建(jian)，為(wei)用(yong)戶提(ti)(ti)供Java后(hou)端基礎功能(neng)的(de)接口(kou)(kou)服務，提(ti)(ti)高程序的(de)開發(fa)效率;Kafka作為(wei)消(xiao)息中間(jian)件，負責日志、告警等消(xiao)息的(de)轉(zhuan)發(fa)，通過消(xiao)息隊列、消(xiao)息確認(ren)機制，保障高并發(fa)場景(jing)下海量(liang)日志、告警消(xiao)息的(de)高速轉(zhuan)發(fa)及數(shu)(shu)據的(de)完整性;Redis作為(wei)緩存(cun)(cun)數(shu)(shu)據庫，主要負責對平(ping)臺用(yong)戶登錄信息、告警、圖片等數(shu)(shu)據進行緩存(cun)(cun)，通過Redis的(de)內存(cun)(cun)緩存(cun)(cun)機制，可提(ti)(ti)高告警、圖片等數(shu)(shu)據在接口(kou)(kou)調用(yong)時的(de)讀(du)寫(xie)速度，縮短單個接口(kou)(kou)的(de)調用(yong)時長(chang)，提(ti)(ti)升高并發(fa)的(de)性能(neng)。智能(neng)動(dong)作行為(wei)識別(bie)審計(ji)系統技(ji)術(shu)架(jia)構如圖1所示。

圖1 智能動作行為識別審計系統技術架構

智能動作(zuo)(zuo)行為識別(bie)審計(ji)系(xi)統應(ying)用(yong)平臺(tai)由客戶端(duan)和(he)后(hou)(hou)(hou)端(duan)服(fu)(fu)(fu)(fu)務(wu)(wu)組成(cheng)，其中客戶端(duan)安裝(zhuang)(zhuang)在(zai)前端(duan)的終端(duan)側，根據(ju)后(hou)(hou)(hou)臺(tai)配置策略操控終端(duan)上安裝(zhuang)(zhuang)的攝像頭硬件(jian);后(hou)(hou)(hou)端(duan)服(fu)(fu)(fu)(fu)務(wu)(wu)由管理(li)服(fu)(fu)(fu)(fu)務(wu)(wu)器(qi)、AI服(fu)(fu)(fu)(fu)務(wu)(wu)器(qi)和(he)流媒體(ti)服(fu)(fu)(fu)(fu)務(wu)(wu)器(qi)組成(cheng)。客戶端(duan)負責人員行為視(shi)頻數(shu)(shu)(shu)(shu)據(ju)、終端(duan)錄屏數(shu)(shu)(shu)(shu)據(ju)以及文本(ben)日志數(shu)(shu)(shu)(shu)據(ju)的采集與發送(song);后(hou)(hou)(hou)端(duan)服(fu)(fu)(fu)(fu)務(wu)(wu)中的流媒體(ti)服(fu)(fu)(fu)(fu)務(wu)(wu)器(qi)負責客戶端(duan)多種數(shu)(shu)(shu)(shu)據(ju)的接收，AI服(fu)(fu)(fu)(fu)務(wu)(wu)器(qi)針對視(shi)頻數(shu)(shu)(shu)(shu)據(ju)進行智能識別(bie)，管理(li)服(fu)(fu)(fu)(fu)務(wu)(wu)器(qi)對策略配置、監控數(shu)(shu)(shu)(shu)據(ju)、智能識別(bie)數(shu)(shu)(shu)(shu)據(ju)進行檢(jian)索與查看。智能動作(zuo)(zuo)行為識別(bie)審計(ji)系(xi)統應(ying)用(yong)架構如圖2所示。

圖2 智能動作行為識別審計系統應用架構

智能動(dong)作行為(wei)(wei)(wei)識(shi)別(bie)審計(ji)系統主要采集(ji)終端的(de)(de)桌(zhuo)面視(shi)(shi)頻(pin)、攝像(xiang)(xiang)頭視(shi)(shi)頻(pin)、終端行為(wei)(wei)(wei)文本日志(鼠(shu)標點擊、鍵盤、應用(yong)進程等，根據錄(lu)(lu)屏(ping)(ping)策略控制(zhi)采集(ji)范(fan)圍(wei))。以(yi)終端為(wei)(wei)(wei)Intel Xeon Gold 5218處理器、主頻(pin)率(lv)為(wei)(wei)(wei)2.30GHz，內(nei)存為(wei)(wei)(wei)32G，操作系統為(wei)(wei)(wei)Windows Server 2016為(wei)(wei)(wei)例，在對(dui)終端性能進行平(ping)衡考量(liang)時(shi)，在滿足(zu)動(dong)作識(shi)別(bie)要求的(de)(de)前提(ti)下，調整(zheng)錄(lu)(lu)屏(ping)(ping)畫(hua)質為(wei)(wei)(wei)“低”，錄(lu)(lu)像(xiang)(xiang)攝像(xiang)(xiang)頭分辨率(lv)為(wei)(wei)(wei)640×480ppi，幀(zhen)率(lv)為(wei)(wei)(wei)15fps，此時(shi)CPU占(zhan)用(yong)約14%，內(nei)存占(zhan)用(yong)約1%。在對(dui)數據傳輸進行考量(liang)時(shi)，將終端錄(lu)(lu)像(xiang)(xiang)分辨率(lv)調整(zheng)為(wei)(wei)(wei)480ppi、錄(lu)(lu)屏(ping)(ping)分辨率(lv)調整(zheng)為(wei)(wei)(wei)1080ppi，行為(wei)(wei)(wei)日志傳輸速率(lv)按照1條/秒，網絡帶寬總計(ji)需要約2Mbps。

智(zhi)(zhi)(zhi)(zhi)能(neng)(neng)動作行為(wei)識(shi)(shi)別(bie)審計系統應用(yong)組(zu)成模(mo)(mo)塊(kuai)(kuai)包括智(zhi)(zhi)(zhi)(zhi)能(neng)(neng)行為(wei)檢測(ce)(ce)模(mo)(mo)塊(kuai)(kuai)、智(zhi)(zhi)(zhi)(zhi)能(neng)(neng)終端違規識(shi)(shi)別(bie)模(mo)(mo)塊(kuai)(kuai)、智(zhi)(zhi)(zhi)(zhi)能(neng)(neng)聯(lian)合檢測(ce)(ce)模(mo)(mo)塊(kuai)(kuai)、數據處(chu)理模(mo)(mo)塊(kuai)(kuai)、智(zhi)(zhi)(zhi)(zhi)能(neng)(neng)告警與(yu)取(qu)證(zheng)模(mo)(mo)塊(kuai)(kuai)等五個(ge)模(mo)(mo)塊(kuai)(kuai)，每個(ge)模(mo)(mo)塊(kuai)(kuai)具(ju)有不同的功能(neng)(neng)并相互關(guan)聯(lian)、協同處(chu)置。

(1)智能行為檢測模塊

智能行(xing)為檢測模塊主要(yao)用于快(kuai)速、準確識別錄(lu)像、影像中辦公人員(yuan)的異(yi)常(chang)行(xing)為，如(ru)拍(pai)照、伏(fu)案抄(chao)寫、人員(yuan)離崗等。

智能(neng)動作(zuo)行(xing)為識(shi)別(bie)審計(ji)系統(tong)(tong)采用(yong)計(ji)算(suan)(suan)(suan)耗時短、識(shi)別(bie)精度高以(yi)及便(bian)于平(ping)臺部署的(de)(de)(de)YOLO5算(suan)(suan)(suan)法。在(zai)訓練(lian)數(shu)(shu)(shu)據集(ji)方面(mian)，采用(yong)“公開(kai)數(shu)(shu)(shu)據+自(zi)有(you)(you)采集(ji)數(shu)(shu)(shu)據”相結合的(de)(de)(de)方式(shi)，公開(kai)數(shu)(shu)(shu)據使(shi)用(yong)COCO、Object 365等被行(xing)業認可的(de)(de)(de)數(shu)(shu)(shu)據集(ji)的(de)(de)(de)公開(kai)數(shu)(shu)(shu)據，保(bao)障了訓練(lian)樣(yang)本的(de)(de)(de)有(you)(you)效性；自(zi)有(you)(you)采集(ji)數(shu)(shu)(shu)據結合實(shi)際(ji)的(de)(de)(de)辦公場景(jing)(jing)及模(mo)擬的(de)(de)(de)違規行(xing)為場景(jing)(jing)，以(yi)保(bao)障數(shu)(shu)(shu)據的(de)(de)(de)適用(yong)性。在(zai)模(mo)型(xing)訓練(lian)方面(mian)，選取YOLO5n-v6的(de)(de)(de)模(mo)型(xing)結構(gou)，采用(yong)“預訓練(lian)+微(wei)調(diao)”的(de)(de)(de)方式(shi)，通過公開(kai)數(shu)(shu)(shu)據進(jin)行(xing)模(mo)型(xing)預訓練(lian)，將自(zi)有(you)(you)采集(ji)數(shu)(shu)(shu)據在(zai)預訓練(lian)的(de)(de)(de)基(ji)礎上(shang)進(jin)行(xing)微(wei)調(diao)，在(zai)微(wei)調(diao)過程(cheng)中不凍結任(ren)何學習層。基(ji)于YOLO5算(suan)(suan)(suan)法，系統(tong)(tong)構(gou)建了拍照行(xing)為、伏案(an)抄寫、人(ren)員離崗三(san)個異常(chang)行(xing)為識(shi)別(bie)模(mo)型(xing)并進(jin)行(xing)多輪模(mo)型(xing)調(diao)優，經(jing)實(shi)際(ji)應用(yong)檢(jian)測，三(san)個模(mo)型(xing)的(de)(de)(de)識(shi)別(bie)準確率均在(zai)95%以(yi)上(shang)。

(2)智能終端違規識別模塊

智能終(zhong)端(duan)違規識(shi)(shi)別(bie)模塊主要記錄并識(shi)(shi)別(bie)人員在(zai)桌(zhuo)面(mian)(mian)(mian)終(zhong)端(duan)的異常(chang)(chang)行為(wei)(wei)，基于OCR技術(shu)將(jiang)人員桌(zhuo)面(mian)(mian)(mian)終(zhong)端(duan)的錄屏(ping)記錄轉化(hua)為(wei)(wei)文(wen)本內容(rong)進行存儲，同時記錄人員的鍵盤、鼠標等(deng)操(cao)作行為(wei)(wei)日志(zhi)。將(jiang)錄屏(ping)數(shu)據以及操(cao)作日志(zhi)數(shu)據相結(jie)合(he)，利(li)用(yong)(yong)(yong)(yong)自然(ran)語言處理、機(ji)器(qi)學習、深(shen)度學習技術(shu)，并結(jie)合(he)浦發(fa)卡中心實際應用(yong)(yong)(yong)(yong)需(xu)求，覆蓋敏感數(shu)據訪(fang)問高(gao)危操(cao)作及異常(chang)(chang)操(cao)作兩(liang)類(lei)行為(wei)(wei)場景。在(zai)敏感數(shu)據訪(fang)問方面(mian)(mian)(mian)，采(cai)(cai)用(yong)(yong)(yong)(yong)命(ming)名實體識(shi)(shi)別(bie)(NER)技術(shu)和(he)正則匹配法識(shi)(shi)別(bie)文(wen)本中的敏感數(shu)據及敏感數(shu)據類(lei)型;在(zai)異常(chang)(chang)操(cao)作行為(wei)(wei)方面(mian)(mian)(mian)，采(cai)(cai)用(yong)(yong)(yong)(yong)核密(mi)度估計算法(KDE)識(shi)(shi)別(bie)操(cao)作事件日志(zhi)反映的異常(chang)(chang)操(cao)作行為(wei)(wei)和(he)高(gao)危操(cao)作行為(wei)(wei)。終(zhong)端(duan)違規識(shi)(shi)別(bie)邏(luo)輯如圖3所示(shi)。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智(zhi)(zhi)能(neng)(neng)(neng)(neng)聯合檢測(ce)(ce)模(mo)塊(kuai)(kuai)基(ji)(ji)于智(zhi)(zhi)能(neng)(neng)(neng)(neng)行(xing)(xing)為(wei)檢測(ce)(ce)模(mo)塊(kuai)(kuai)與(yu)智(zhi)(zhi)能(neng)(neng)(neng)(neng)終端違規識(shi)(shi)別(bie)模(mo)塊(kuai)(kuai)的(de)識(shi)(shi)別(bie)過程及結果數(shu)據(ju)進行(xing)(xing)聯動識(shi)(shi)別(bie)檢測(ce)(ce)，主要(yao)解決智(zhi)(zhi)能(neng)(neng)(neng)(neng)終端違規識(shi)(shi)別(bie)模(mo)塊(kuai)(kuai)無法(fa)準確認定違規事(shi)件等(deng)問(wen)(wen)題。智(zhi)(zhi)能(neng)(neng)(neng)(neng)聯合檢測(ce)(ce)模(mo)型基(ji)(ji)于桌面終端以及員(yuan)工行(xing)(xing)為(wei)數(shu)據(ju)，采用時間序列預(yu)測(ce)(ce)模(mo)型，對員(yuan)工異常違規行(xing)(xing)為(wei)進行(xing)(xing)識(shi)(shi)別(bie)與(yu)判定，主要(yao)識(shi)(shi)別(bie)的(de)敏感(gan)(gan)數(shu)據(ju)泄露(lu)核心場景(jing)包括“敏感(gan)(gan)數(shu)據(ju)訪問(wen)(wen)+高(gao)保密(mi)網站、高(gao)保密(mi)文檔(dang)”“拍照、伏案抄寫+離開(kai)未鎖屏”等(deng)。經(jing)實際驗證測(ce)(ce)試，智(zhi)(zhi)能(neng)(neng)(neng)(neng)聯合檢測(ce)(ce)模(mo)塊(kuai)(kuai)識(shi)(shi)別(bie)的(de)綜合準確率達(da)95%以上。此外(wai)，智(zhi)(zhi)能(neng)(neng)(neng)(neng)聯合檢測(ce)(ce)模(mo)塊(kuai)(kuai)建立了系統協(xie)同機(ji)制與(yu)功能(neng)(neng)(neng)(neng)擴展機(ji)制，未來可以快速(su)地納(na)入新的(de)監測(ce)(ce)項目(mu)和監測(ce)(ce)場景(jing)，有(you)助于銀行(xing)(xing)對合規要(yao)求的(de)即時響應。

(4)AI數據處理模塊

AI數(shu)據(ju)處(chu)理(li)模(mo)塊的(de)數(shu)據(ju)處(chu)理(li)速(su)率(lv)可達到每秒800張(zhang)圖片，能(neng)夠同時支持160臺(tai)終端進行數(shu)據(ju)采(cai)集、分析(xi)，即每個終端每秒可采(cai)集、分析(xi)5張(zhang)圖像的(de)數(shu)據(ju)，且不會產生(sheng)數(shu)據(ju)堆積的(de)風險(xian)，從而(er)增強了智能(neng)動作行為識別審計系統(tong)整體的(de)處(chu)理(li)速(su)度(du)和準確(que)率(lv)。

(5)智能告警與取證模塊

智能告(gao)警(jing)與取(qu)(qu)(qu)證模塊(kuai)主要用于(yu)實現(xian)違(wei)(wei)規(gui)事件(jian)阻斷、告(gao)警(jing)信(xin)息(xi)觸(chu)達以及證據鏈留(liu)存(cun)與取(qu)(qu)(qu)證。該模塊(kuai)通過彈屏等方式對操作人(ren)員進行告(gao)警(jing)并(bing)阻斷其違(wei)(wei)規(gui)行為(wei)，基于(yu)違(wei)(wei)規(gui)告(gao)警(jing)事件(jian)歸集、整理相(xiang)關證據鏈并(bing)進行留(liu)存(cun)，且支持后續(xu)一(yi)鍵調(diao)閱(yue)。智能告(gao)警(jing)與取(qu)(qu)(qu)證模塊(kuai)下的告(gao)警(jing)信(xin)息(xi)觸(chu)達功能模塊(kuai)將在違(wei)(wei)規(gui)事件(jian)被(bei)識別后的第(di)一(yi)時間將相(xiang)關信(xin)息(xi)發送(song)給(gei)相(xiang)關負(fu)責人(ren)，便于(yu)其對違(wei)(wei)規(gui)事件(jian)進行及時處理。

智能動作行(xing)(xing)為(wei)識別(bie)審計系統可迅速識別(bie)潛在的(de)敏感數據訪問(wen)或(huo)信(xin)息泄(xie)露(lu)行(xing)(xing)為(wei)，增(zeng)強了銀行(xing)(xing)在人員違規行(xing)(xing)為(wei)方面的(de)防護能力(li)。一旦系統檢測(ce)到(dao)異(yi)常行(xing)(xing)為(wei)，會立即發出告警并采(cai)取(qu)必要措施，以(yi)屏幕錄(lu)像和人員錄(lu)像的(de)形式記錄(lu)和定位違規操作，以(yi)便銀行(xing)(xing)進行(xing)(xing)后續的(de)調查和取(qu)證。

智能(neng)動作(zuo)行為識別審(shen)計系統為浦(pu)發卡(ka)中心提供了便(bian)捷的(de)人員(yuan)監控工(gong)具(ju)，并可(ke)根(gen)據(ju)監測需要對系統進(jin)行功(gong)能(neng)拓(tuo)展，以適應不斷(duan)變化(hua)的(de)監管(guan)環境(jing)，使浦(pu)發卡(ka)中心能(neng)夠快速響應合(he)規要求(qiu)，提升(sheng)信息安全審(shen)計工(gong)作(zuo)的(de)智能(neng)化(hua)和便(bian)捷性，減少傳統管(guan)理模式中人工(gong)執(zhi)行的(de)工(gong)作(zuo)量。

智能(neng)動(dong)作行(xing)為識別審計系統將(jiang)YOLO5算法等成熟的先進技(ji)術應用(yong)在內控管(guan)理領域，不(bu)僅降低了數據泄(xie)露的風(feng)險，而且有效提(ti)升了銀(yin)行(xing)的信息(xi)安(an)全防護(hu)水(shui)平(ping)和內部威脅防范(fan)能(neng)力(li)。