隨著業務數(shu)字化變革(ge)的加速，銀(yin)行(xing)(xing)業面(mian)臨(lin)的內(nei)外(wai)部信(xin)(xin)息(xi)安(an)全挑(tiao)戰愈發(fa)嚴峻，其中(zhong)內(nei)部挑(tiao)戰主要源(yuan)于(yu)(yu)銀(yin)行(xing)(xing)內(nei)控和各項(xiang)管理要求的日(ri)益嚴格，尤其是近年來相關(guan)部門對(dui)于(yu)(yu)個人(ren)信(xin)(xin)息(xi)安(an)全保(bao)護要求的不斷(duan)升級。相對(dui)而(er)言(yan)，銀(yin)行(xing)(xing)對(dui)于(yu)(yu)內(nei)部人(ren)員(yuan)(yuan)違規行(xing)(xing)為(wei)(wei)(wei)的防范意(yi)識(shi)較為(wei)(wei)(wei)薄弱，對(dui)于(yu)(yu)拍照和抄寫內(nei)部信(xin)(xin)息(xi)等違規行(xing)(xing)為(wei)(wei)(wei)缺少有效(xiao)的技術管理手段。雖然(ran)一些監控審計(ji)類的產品(pin)可用于(yu)(yu)智能監測員(yuan)(yuan)工(gong)行(xing)(xing)為(wei)(wei)(wei)，但欠缺對(dui)系(xi)統內(nei)部數(shu)據的審計(ji)能力(li)，以及對(dui)于(yu)(yu)員(yuan)(yuan)工(gong)行(xing)(xing)為(wei)(wei)(wei)與(yu)系(xi)統操作的關(guan)聯分析，導致(zhi)無(wu)法(fa)形成完整的證據鏈(lian)。因(yin)此，如何同步采集人(ren)員(yuan)(yuan)行(xing)(xing)為(wei)(wei)(wei)和終端的操作行(xing)(xing)為(wei)(wei)(wei)，并(bing)將(jiang)這兩種(zhong)行(xing)(xing)為(wei)(wei)(wei)進行(xing)(xing)有效(xiao)結合以快速阻斷(duan)違規行(xing)(xing)為(wei)(wei)(wei)信(xin)(xin)息(xi)，是業界亟待(dai)解決的問(wen)題。

近(jin)期(qi)，上(shang)海浦東(dong)發展銀行(xing)信(xin)(xin)用卡中心(以(yi)下簡(jian)稱“浦發卡中心”)采用人(ren)工(gong)(gong)智能和計算機(ji)視覺技術研發了(le)智能動作行(xing)為(wei)識(shi)別(bie)審(shen)計系(xi)(xi)(xi)統(tong)，實現了(le)監(jian)控和分析人(ren)員(yuan)行(xing)為(wei)以(yi)及終端敏感操作的聯合(he)審(shen)計。這一系(xi)(xi)(xi)統(tong)整(zheng)合(he)了(le)多(duo)模態數據(ju)檢(jian)索技術，能夠捕獲員(yuan)工(gong)(gong)在工(gong)(gong)作過程中的異常行(xing)為(wei)，對員(yuan)工(gong)(gong)可能訪(fang)問或處理(li)的敏感數據(ju)也同步(bu)進行(xing)內容識(shi)別(bie)監(jian)測。該系(xi)(xi)(xi)統(tong)適用于(yu)根據(ju)監(jian)管要求(qiu)(qiu)和行(xing)內制度需要對PC終端行(xing)為(wei)和辦公人(ren)員(yuan)動作行(xing)為(wei)進行(xing)整(zheng)體監(jian)控的高(gao)安全(quan)級別(bie)工(gong)(gong)作場(chang)景，如容易造成企業信(xin)(xin)息(xi)或其他重要信(xin)(xin)息(xi)泄(xie)露的業務環境(jing)。尤(you)其在《中華人(ren)民共(gong)和國個人(ren)信(xin)(xin)息(xi)保護法》頒(ban)布后，相關(guan)部門(men)對于(yu)數據(ju)使用環節的要求(qiu)(qiu)更(geng)加嚴格，銀行(xing)在數據(ju)操作和系(xi)(xi)(xi)統(tong)維護等關(guan)鍵領域(yu)的安全(quan)要求(qiu)(qiu)更(geng)高(gao)。

智(zhi)(zhi)能(neng)(neng)動(dong)作行(xing)為識(shi)別審(shen)計系統采用(yong)(yong)SpringBoot、Kafka、Redis等(deng)(deng)主流技(ji)術，以確保(bao)高性能(neng)(neng)和(he)高并(bing)發(fa)處(chu)理(li)。其中SpringBoot應(ying)用(yong)(yong)于Web后端(duan)搭(da)建，為用(yong)(yong)戶提(ti)供Java后端(duan)基礎功能(neng)(neng)的(de)接口(kou)(kou)服務，提(ti)高程序的(de)開(kai)發(fa)效(xiao)率;Kafka作為消(xiao)(xiao)息(xi)(xi)中間件(jian)，負責日(ri)志(zhi)(zhi)、告(gao)警等(deng)(deng)消(xiao)(xiao)息(xi)(xi)的(de)轉發(fa)，通過消(xiao)(xiao)息(xi)(xi)隊列、消(xiao)(xiao)息(xi)(xi)確認機制，保(bao)障高并(bing)發(fa)場景下海量日(ri)志(zhi)(zhi)、告(gao)警消(xiao)(xiao)息(xi)(xi)的(de)高速轉發(fa)及數(shu)據(ju)的(de)完整性;Redis作為緩(huan)存(cun)(cun)數(shu)據(ju)庫，主要負責對(dui)平臺用(yong)(yong)戶登(deng)錄信息(xi)(xi)、告(gao)警、圖片等(deng)(deng)數(shu)據(ju)進行(xing)緩(huan)存(cun)(cun)，通過Redis的(de)內(nei)存(cun)(cun)緩(huan)存(cun)(cun)機制，可提(ti)高告(gao)警、圖片等(deng)(deng)數(shu)據(ju)在接口(kou)(kou)調用(yong)(yong)時的(de)讀寫速度，縮短單個(ge)接口(kou)(kou)的(de)調用(yong)(yong)時長(chang)，提(ti)升(sheng)高并(bing)發(fa)的(de)性能(neng)(neng)。智(zhi)(zhi)能(neng)(neng)動(dong)作行(xing)為識(shi)別審(shen)計系統技(ji)術架構(gou)如圖1所示。

圖1 智能動作行為識別審計系統技術架構

智(zhi)能動(dong)作行為(wei)識別(bie)審計系(xi)(xi)統應用(yong)平臺由客戶(hu)(hu)端和后(hou)(hou)(hou)端服(fu)(fu)務(wu)(wu)組成，其中客戶(hu)(hu)端安(an)裝在(zai)前端的終(zhong)端側(ce)，根據(ju)后(hou)(hou)(hou)臺配置策略(lve)操控終(zhong)端上(shang)安(an)裝的攝像頭硬件(jian);后(hou)(hou)(hou)端服(fu)(fu)務(wu)(wu)由管理服(fu)(fu)務(wu)(wu)器(qi)、AI服(fu)(fu)務(wu)(wu)器(qi)和流(liu)媒(mei)體(ti)(ti)服(fu)(fu)務(wu)(wu)器(qi)組成。客戶(hu)(hu)端負(fu)責人員行為(wei)視頻數(shu)據(ju)、終(zhong)端錄屏數(shu)據(ju)以及文本日志數(shu)據(ju)的采集與發送;后(hou)(hou)(hou)端服(fu)(fu)務(wu)(wu)中的流(liu)媒(mei)體(ti)(ti)服(fu)(fu)務(wu)(wu)器(qi)負(fu)責客戶(hu)(hu)端多種數(shu)據(ju)的接(jie)收，AI服(fu)(fu)務(wu)(wu)器(qi)針對視頻數(shu)據(ju)進行智(zhi)能識別(bie)，管理服(fu)(fu)務(wu)(wu)器(qi)對策略(lve)配置、監控數(shu)據(ju)、智(zhi)能識別(bie)數(shu)據(ju)進行檢索與查看。智(zhi)能動(dong)作行為(wei)識別(bie)審計系(xi)(xi)統應用(yong)架構如(ru)圖2所示。

圖2 智能動作行為識別審計系統應用架構

智(zhi)能動作(zuo)行(xing)(xing)為(wei)識(shi)別(bie)審計系(xi)統(tong)(tong)主(zhu)要采集(ji)終(zhong)(zhong)端(duan)的桌面視頻、攝像(xiang)頭(tou)視頻、終(zhong)(zhong)端(duan)行(xing)(xing)為(wei)文本日志(鼠(shu)標點擊、鍵盤、應用進程(cheng)等，根據(ju)錄(lu)屏策略控制采集(ji)范圍)。以終(zhong)(zhong)端(duan)為(wei)Intel Xeon Gold 5218處理(li)器、主(zhu)頻率(lv)為(wei)2.30GHz，內存為(wei)32G，操作(zuo)系(xi)統(tong)(tong)為(wei)Windows Server 2016為(wei)例，在對終(zhong)(zhong)端(duan)性能進行(xing)(xing)平(ping)衡(heng)考(kao)量時，在滿足動作(zuo)識(shi)別(bie)要求的前提下，調(diao)整(zheng)錄(lu)屏畫質(zhi)為(wei)“低”，錄(lu)像(xiang)攝像(xiang)頭(tou)分辨(bian)(bian)率(lv)為(wei)640×480ppi，幀率(lv)為(wei)15fps，此時CPU占用約14%，內存占用約1%。在對數據(ju)傳輸進行(xing)(xing)考(kao)量時，將終(zhong)(zhong)端(duan)錄(lu)像(xiang)分辨(bian)(bian)率(lv)調(diao)整(zheng)為(wei)480ppi、錄(lu)屏分辨(bian)(bian)率(lv)調(diao)整(zheng)為(wei)1080ppi，行(xing)(xing)為(wei)日志傳輸速率(lv)按照1條/秒(miao)，網絡(luo)帶(dai)寬總計需要約2Mbps。

智(zhi)能動作行為(wei)識別(bie)審計(ji)系(xi)統應用(yong)組成模(mo)(mo)塊(kuai)包括(kuo)智(zhi)能行為(wei)檢測模(mo)(mo)塊(kuai)、智(zhi)能終端違(wei)規識別(bie)模(mo)(mo)塊(kuai)、智(zhi)能聯(lian)合檢測模(mo)(mo)塊(kuai)、數(shu)據處(chu)理模(mo)(mo)塊(kuai)、智(zhi)能告警與取(qu)證模(mo)(mo)塊(kuai)等五個模(mo)(mo)塊(kuai)，每個模(mo)(mo)塊(kuai)具有不同的(de)功能并(bing)相互關聯(lian)、協同處(chu)置。

(1)智能行為檢測模塊

智能行為檢測模(mo)塊(kuai)主要用于快速(su)、準確(que)識別錄(lu)像(xiang)、影像(xiang)中辦公人員(yuan)的異常(chang)行為，如拍照、伏(fu)案(an)抄(chao)寫(xie)、人員(yuan)離崗(gang)等。

智能動作行(xing)為識(shi)別審計系(xi)統(tong)采用計算耗時短、識(shi)別精度(du)高以及(ji)便(bian)于平臺部署的(de)(de)(de)(de)YOLO5算法。在(zai)(zai)訓(xun)(xun)練(lian)數(shu)(shu)據集(ji)(ji)方(fang)(fang)面，采用“公(gong)開數(shu)(shu)據+自(zi)有(you)(you)采集(ji)(ji)數(shu)(shu)據”相結合的(de)(de)(de)(de)方(fang)(fang)式，公(gong)開數(shu)(shu)據使用COCO、Object 365等被行(xing)業認(ren)可的(de)(de)(de)(de)數(shu)(shu)據集(ji)(ji)的(de)(de)(de)(de)公(gong)開數(shu)(shu)據，保(bao)障了訓(xun)(xun)練(lian)樣本的(de)(de)(de)(de)有(you)(you)效性；自(zi)有(you)(you)采集(ji)(ji)數(shu)(shu)據結合實際的(de)(de)(de)(de)辦公(gong)場景及(ji)模(mo)(mo)擬的(de)(de)(de)(de)違規(gui)行(xing)為場景，以保(bao)障數(shu)(shu)據的(de)(de)(de)(de)適用性。在(zai)(zai)模(mo)(mo)型訓(xun)(xun)練(lian)方(fang)(fang)面，選取(qu)YOLO5n-v6的(de)(de)(de)(de)模(mo)(mo)型結構(gou)，采用“預(yu)訓(xun)(xun)練(lian)+微(wei)調(diao)”的(de)(de)(de)(de)方(fang)(fang)式，通過(guo)公(gong)開數(shu)(shu)據進行(xing)模(mo)(mo)型預(yu)訓(xun)(xun)練(lian)，將自(zi)有(you)(you)采集(ji)(ji)數(shu)(shu)據在(zai)(zai)預(yu)訓(xun)(xun)練(lian)的(de)(de)(de)(de)基礎上進行(xing)微(wei)調(diao)，在(zai)(zai)微(wei)調(diao)過(guo)程中不凍(dong)結任何學(xue)習層(ceng)。基于YOLO5算法，系(xi)統(tong)構(gou)建了拍照行(xing)為、伏案抄寫(xie)、人員離崗(gang)三個(ge)異常行(xing)為識(shi)別模(mo)(mo)型并進行(xing)多輪(lun)模(mo)(mo)型調(diao)優，經實際應用檢測，三個(ge)模(mo)(mo)型的(de)(de)(de)(de)識(shi)別準(zhun)確(que)率均在(zai)(zai)95%以上。

(2)智能終端違規識別模塊

智能(neng)終(zhong)(zhong)端違(wei)規(gui)識(shi)別(bie)模塊主要記錄并識(shi)別(bie)人員在桌面(mian)終(zhong)(zhong)端的異常行為，基于OCR技(ji)術將人員桌面(mian)終(zhong)(zhong)端的錄屏(ping)記錄轉(zhuan)化為文(wen)本內容(rong)進行存儲，同(tong)時(shi)記錄人員的鍵盤、鼠標等操(cao)(cao)作(zuo)(zuo)行為日志(zhi)。將錄屏(ping)數(shu)據(ju)(ju)(ju)以及操(cao)(cao)作(zuo)(zuo)日志(zhi)數(shu)據(ju)(ju)(ju)相結合，利用(yong)自然語(yu)言處理、機器學習、深度學習技(ji)術，并結合浦發卡中心實際應用(yong)需(xu)求，覆蓋敏(min)感數(shu)據(ju)(ju)(ju)訪(fang)問(wen)高危(wei)操(cao)(cao)作(zuo)(zuo)及異常操(cao)(cao)作(zuo)(zuo)兩類行為場景。在敏(min)感數(shu)據(ju)(ju)(ju)訪(fang)問(wen)方面(mian)，采用(yong)命(ming)名實體識(shi)別(bie)(NER)技(ji)術和(he)正則(ze)匹配法識(shi)別(bie)文(wen)本中的敏(min)感數(shu)據(ju)(ju)(ju)及敏(min)感數(shu)據(ju)(ju)(ju)類型(xing);在異常操(cao)(cao)作(zuo)(zuo)行為方面(mian)，采用(yong)核(he)密(mi)度估計(ji)算法(KDE)識(shi)別(bie)操(cao)(cao)作(zuo)(zuo)事件日志(zhi)反(fan)映的異常操(cao)(cao)作(zuo)(zuo)行為和(he)高危(wei)操(cao)(cao)作(zuo)(zuo)行為。終(zhong)(zhong)端違(wei)規(gui)識(shi)別(bie)邏輯如(ru)圖3所示。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智(zhi)能聯合(he)檢(jian)(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)塊基(ji)于(yu)智(zhi)能行(xing)為檢(jian)(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)塊與智(zhi)能終(zhong)端違規(gui)(gui)識別(bie)模(mo)(mo)塊的(de)識別(bie)過程及(ji)結果數(shu)(shu)據(ju)(ju)進(jin)行(xing)聯動(dong)識別(bie)檢(jian)(jian)(jian)測(ce)(ce)(ce)，主(zhu)要解決智(zhi)能終(zhong)端違規(gui)(gui)識別(bie)模(mo)(mo)塊無法準(zhun)確認(ren)定違規(gui)(gui)事件等問(wen)題。智(zhi)能聯合(he)檢(jian)(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)型基(ji)于(yu)桌面終(zhong)端以及(ji)員工行(xing)為數(shu)(shu)據(ju)(ju)，采用時(shi)間序列預(yu)測(ce)(ce)(ce)模(mo)(mo)型，對員工異常違規(gui)(gui)行(xing)為進(jin)行(xing)識別(bie)與判(pan)定，主(zhu)要識別(bie)的(de)敏感數(shu)(shu)據(ju)(ju)泄露核心(xin)場景包括“敏感數(shu)(shu)據(ju)(ju)訪(fang)問(wen)+高保(bao)密(mi)(mi)網站(zhan)、高保(bao)密(mi)(mi)文檔”“拍(pai)照(zhao)、伏案抄(chao)寫+離(li)開未鎖屏”等。經實際驗(yan)證(zheng)測(ce)(ce)(ce)試(shi)，智(zhi)能聯合(he)檢(jian)(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)塊識別(bie)的(de)綜(zong)合(he)準(zhun)確率達95%以上。此外，智(zhi)能聯合(he)檢(jian)(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)塊建立(li)了系(xi)統(tong)協(xie)同機制與功能擴展(zhan)機制，未來(lai)可(ke)以快速地納入(ru)新的(de)監(jian)測(ce)(ce)(ce)項目和監(jian)測(ce)(ce)(ce)場景，有(you)助(zhu)于(yu)銀行(xing)對合(he)規(gui)(gui)要求的(de)即時(shi)響應。

(4)AI數據處理模塊

AI數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)處理(li)模塊的數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)處理(li)速(su)率(lv)可達(da)到每(mei)秒800張(zhang)圖(tu)片，能夠同時支持160臺終端(duan)進行數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)采集(ji)、分析(xi)，即(ji)每(mei)個終端(duan)每(mei)秒可采集(ji)、分析(xi)5張(zhang)圖(tu)像的數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)，且不(bu)會產生(sheng)數(shu)(shu)(shu)據(ju)(ju)(ju)(ju)堆積的風險(xian)，從而增(zeng)強了智能動作行為(wei)識別審(shen)計系統整體的處理(li)速(su)度(du)和準確(que)率(lv)。

(5)智能告警與取證模塊

智能告警(jing)與(yu)取證模(mo)(mo)塊(kuai)主要用于(yu)(yu)實現違(wei)(wei)規(gui)事(shi)件(jian)阻斷、告警(jing)信(xin)息(xi)觸(chu)達以及證據鏈留存與(yu)取證。該模(mo)(mo)塊(kuai)通過彈屏等方式對操(cao)作人員進行告警(jing)并(bing)阻斷其(qi)違(wei)(wei)規(gui)行為，基于(yu)(yu)違(wei)(wei)規(gui)告警(jing)事(shi)件(jian)歸集、整(zheng)理相(xiang)關證據鏈并(bing)進行留存，且支持后(hou)續一鍵調閱。智能告警(jing)與(yu)取證模(mo)(mo)塊(kuai)下的告警(jing)信(xin)息(xi)觸(chu)達功能模(mo)(mo)塊(kuai)將在違(wei)(wei)規(gui)事(shi)件(jian)被(bei)識別(bie)后(hou)的第一時(shi)間(jian)將相(xiang)關信(xin)息(xi)發送(song)給相(xiang)關負責人，便于(yu)(yu)其(qi)對違(wei)(wei)規(gui)事(shi)件(jian)進行及時(shi)處理。

智能動作(zuo)行(xing)(xing)為(wei)(wei)識別審計(ji)系(xi)統(tong)可迅速識別潛在的(de)敏(min)感數據訪問或信息(xi)泄露(lu)行(xing)(xing)為(wei)(wei)，增強了銀行(xing)(xing)在人(ren)員違規行(xing)(xing)為(wei)(wei)方面的(de)防護(hu)能力(li)。一旦系(xi)統(tong)檢測到異常行(xing)(xing)為(wei)(wei)，會立即發出告警并(bing)采取必要措施，以屏幕(mu)錄(lu)像(xiang)和(he)人(ren)員錄(lu)像(xiang)的(de)形式記錄(lu)和(he)定位違規操作(zuo)，以便銀行(xing)(xing)進(jin)行(xing)(xing)后續的(de)調查和(he)取證(zheng)。

智能(neng)動作行(xing)為(wei)識別審(shen)計系統(tong)為(wei)浦發卡(ka)中心提供了(le)便捷(jie)的(de)人(ren)員(yuan)監控工(gong)具，并可根據監測(ce)需要對系統(tong)進行(xing)功能(neng)拓展，以適應不(bu)斷(duan)變化的(de)監管環境(jing)，使浦發卡(ka)中心能(neng)夠(gou)快速響應合規要求，提升信息安全審(shen)計工(gong)作的(de)智能(neng)化和便捷(jie)性，減少傳統(tong)管理模式中人(ren)工(gong)執行(xing)的(de)工(gong)作量。

智能(neng)動作行為(wei)識別審計系統將YOLO5算法等成(cheng)熟的先進技(ji)術應用在內(nei)控管理(li)領域，不(bu)僅降(jiang)低了(le)數(shu)據泄露的風(feng)險，而且有效(xiao)提升了(le)銀行的信息安全防護水平(ping)和內(nei)部威脅防范能(neng)力。