隨著業務(wu)數字化變革的(de)(de)(de)(de)(de)加速(su)，銀(yin)行(xing)(xing)業面臨的(de)(de)(de)(de)(de)內外部(bu)(bu)(bu)信(xin)(xin)(xin)息安全挑(tiao)戰愈發嚴(yan)峻(jun)，其中(zhong)內部(bu)(bu)(bu)挑(tiao)戰主要(yao)源(yuan)于銀(yin)行(xing)(xing)內控和各項管理要(yao)求的(de)(de)(de)(de)(de)日益嚴(yan)格(ge)，尤其是近年來相關(guan)部(bu)(bu)(bu)門對于個人信(xin)(xin)(xin)息安全保護要(yao)求的(de)(de)(de)(de)(de)不斷(duan)升級。相對而言，銀(yin)行(xing)(xing)對于內部(bu)(bu)(bu)人員違規行(xing)(xing)為的(de)(de)(de)(de)(de)防范意識較(jiao)為薄弱(ruo)，對于拍照和抄(chao)寫內部(bu)(bu)(bu)信(xin)(xin)(xin)息等違規行(xing)(xing)為缺少有效的(de)(de)(de)(de)(de)技(ji)術管理手段。雖然一些監控審計(ji)類的(de)(de)(de)(de)(de)產品可用于智能監測員工(gong)行(xing)(xing)為，但(dan)欠缺對系(xi)統內部(bu)(bu)(bu)數據的(de)(de)(de)(de)(de)審計(ji)能力，以(yi)及(ji)對于員工(gong)行(xing)(xing)為與(yu)系(xi)統操作的(de)(de)(de)(de)(de)關(guan)聯分(fen)析，導致無法形成完整的(de)(de)(de)(de)(de)證據鏈。因此，如(ru)何(he)同步采集人員行(xing)(xing)為和終端的(de)(de)(de)(de)(de)操作行(xing)(xing)為，并將這兩(liang)種行(xing)(xing)為進行(xing)(xing)有效結合以(yi)快速(su)阻斷(duan)違規行(xing)(xing)為信(xin)(xin)(xin)息，是業界亟(ji)待解決的(de)(de)(de)(de)(de)問題(ti)。

近期，上(shang)海(hai)浦東發展銀(yin)行(xing)(xing)(xing)(xing)信用卡中心(以下簡(jian)稱“浦發卡中心”)采用人(ren)工(gong)(gong)(gong)智能和計(ji)算(suan)機視覺技術(shu)研發了智能動(dong)作(zuo)行(xing)(xing)(xing)(xing)為(wei)識別審計(ji)系統，實現了監(jian)控(kong)和分(fen)析人(ren)員(yuan)行(xing)(xing)(xing)(xing)為(wei)以及終端敏感(gan)操作(zuo)的(de)聯(lian)合審計(ji)。這一系統整合了多(duo)模態數據檢索技術(shu)，能夠(gou)捕獲員(yuan)工(gong)(gong)(gong)在工(gong)(gong)(gong)作(zuo)過程中的(de)異常行(xing)(xing)(xing)(xing)為(wei)，對(dui)員(yuan)工(gong)(gong)(gong)可能訪(fang)問或處理(li)的(de)敏感(gan)數據也(ye)同步進行(xing)(xing)(xing)(xing)內容(rong)識別監(jian)測。該系統適(shi)用于根據監(jian)管(guan)要(yao)求和行(xing)(xing)(xing)(xing)內制度需要(yao)對(dui)PC終端行(xing)(xing)(xing)(xing)為(wei)和辦公人(ren)員(yuan)動(dong)作(zuo)行(xing)(xing)(xing)(xing)為(wei)進行(xing)(xing)(xing)(xing)整體監(jian)控(kong)的(de)高安全級別工(gong)(gong)(gong)作(zuo)場景，如容(rong)易造成企(qi)業信息或其他重要(yao)信息泄(xie)露(lu)的(de)業務環(huan)境。尤其在《中華人(ren)民共(gong)和國個人(ren)信息保護(hu)法》頒布后(hou)，相關部門對(dui)于數據使用環(huan)節的(de)要(yao)求更(geng)加嚴(yan)格，銀(yin)行(xing)(xing)(xing)(xing)在數據操作(zuo)和系統維(wei)護(hu)等(deng)關鍵領域的(de)安全要(yao)求更(geng)高。

智(zhi)能動作行(xing)為(wei)(wei)(wei)識(shi)別審(shen)計系統采(cai)用SpringBoot、Kafka、Redis等(deng)主流技術，以確保(bao)高(gao)性(xing)能和高(gao)并(bing)(bing)發處理。其中SpringBoot應用于(yu)Web后端(duan)搭建，為(wei)(wei)(wei)用戶(hu)提(ti)供Java后端(duan)基礎功能的(de)接(jie)口(kou)服(fu)務，提(ti)高(gao)程(cheng)序的(de)開發效率;Kafka作為(wei)(wei)(wei)消(xiao)息(xi)中間件，負(fu)(fu)責日志、告(gao)警(jing)等(deng)消(xiao)息(xi)的(de)轉發，通過消(xiao)息(xi)隊列、消(xiao)息(xi)確認機(ji)制，保(bao)障高(gao)并(bing)(bing)發場(chang)景下海(hai)量日志、告(gao)警(jing)消(xiao)息(xi)的(de)高(gao)速轉發及數(shu)據的(de)完(wan)整性(xing);Redis作為(wei)(wei)(wei)緩存(cun)數(shu)據庫，主要負(fu)(fu)責對平臺用戶(hu)登錄信息(xi)、告(gao)警(jing)、圖片(pian)等(deng)數(shu)據進行(xing)緩存(cun)，通過Redis的(de)內存(cun)緩存(cun)機(ji)制，可提(ti)高(gao)告(gao)警(jing)、圖片(pian)等(deng)數(shu)據在接(jie)口(kou)調用時(shi)的(de)讀寫速度，縮短單個接(jie)口(kou)的(de)調用時(shi)長，提(ti)升高(gao)并(bing)(bing)發的(de)性(xing)能。智(zhi)能動作行(xing)為(wei)(wei)(wei)識(shi)別審(shen)計系統技術架(jia)構如(ru)圖1所示(shi)。

圖1 智能動作行為識別審計系統技術架構

智能動作行(xing)為識(shi)(shi)別(bie)審計(ji)系統應(ying)用平臺由(you)客(ke)戶(hu)端(duan)(duan)和(he)后(hou)端(duan)(duan)服(fu)務(wu)(wu)組成，其中客(ke)戶(hu)端(duan)(duan)安(an)(an)裝在前端(duan)(duan)的(de)終端(duan)(duan)側，根據(ju)(ju)(ju)后(hou)臺配置策略操控終端(duan)(duan)上安(an)(an)裝的(de)攝(she)像頭硬件;后(hou)端(duan)(duan)服(fu)務(wu)(wu)由(you)管理服(fu)務(wu)(wu)器(qi)、AI服(fu)務(wu)(wu)器(qi)和(he)流媒體服(fu)務(wu)(wu)器(qi)組成。客(ke)戶(hu)端(duan)(duan)負(fu)責人員(yuan)行(xing)為視(shi)頻(pin)數(shu)據(ju)(ju)(ju)、終端(duan)(duan)錄(lu)屏數(shu)據(ju)(ju)(ju)以及文本日志數(shu)據(ju)(ju)(ju)的(de)采集與(yu)發送(song);后(hou)端(duan)(duan)服(fu)務(wu)(wu)中的(de)流媒體服(fu)務(wu)(wu)器(qi)負(fu)責客(ke)戶(hu)端(duan)(duan)多種數(shu)據(ju)(ju)(ju)的(de)接收，AI服(fu)務(wu)(wu)器(qi)針對(dui)視(shi)頻(pin)數(shu)據(ju)(ju)(ju)進行(xing)智能識(shi)(shi)別(bie)，管理服(fu)務(wu)(wu)器(qi)對(dui)策略配置、監控數(shu)據(ju)(ju)(ju)、智能識(shi)(shi)別(bie)數(shu)據(ju)(ju)(ju)進行(xing)檢索與(yu)查看。智能動作行(xing)為識(shi)(shi)別(bie)審計(ji)系統應(ying)用架(jia)構(gou)如(ru)圖2所示。

圖2 智能動作行為識別審計系統應用架構

智能動作(zuo)行為(wei)(wei)(wei)(wei)識別審計系統主(zhu)要采(cai)集(ji)終(zhong)(zhong)端(duan)(duan)的桌面視頻(pin)、攝(she)像(xiang)頭視頻(pin)、終(zhong)(zhong)端(duan)(duan)行為(wei)(wei)(wei)(wei)文本日(ri)志(zhi)(鼠標點擊、鍵盤、應用進程等，根據錄(lu)(lu)屏(ping)策略控(kong)制采(cai)集(ji)范(fan)圍)。以(yi)終(zhong)(zhong)端(duan)(duan)為(wei)(wei)(wei)(wei)Intel Xeon Gold 5218處(chu)理器、主(zhu)頻(pin)率(lv)(lv)為(wei)(wei)(wei)(wei)2.30GHz，內(nei)存為(wei)(wei)(wei)(wei)32G，操作(zuo)系統為(wei)(wei)(wei)(wei)Windows Server 2016為(wei)(wei)(wei)(wei)例，在對終(zhong)(zhong)端(duan)(duan)性能進行平衡考量(liang)(liang)時(shi)(shi)，在滿足動作(zuo)識別要求的前提(ti)下，調整(zheng)錄(lu)(lu)屏(ping)畫質為(wei)(wei)(wei)(wei)“低”，錄(lu)(lu)像(xiang)攝(she)像(xiang)頭分辨(bian)率(lv)(lv)為(wei)(wei)(wei)(wei)640×480ppi，幀率(lv)(lv)為(wei)(wei)(wei)(wei)15fps，此時(shi)(shi)CPU占用約(yue)14%，內(nei)存占用約(yue)1%。在對數據傳輸進行考量(liang)(liang)時(shi)(shi)，將終(zhong)(zhong)端(duan)(duan)錄(lu)(lu)像(xiang)分辨(bian)率(lv)(lv)調整(zheng)為(wei)(wei)(wei)(wei)480ppi、錄(lu)(lu)屏(ping)分辨(bian)率(lv)(lv)調整(zheng)為(wei)(wei)(wei)(wei)1080ppi，行為(wei)(wei)(wei)(wei)日(ri)志(zhi)傳輸速率(lv)(lv)按照1條/秒，網絡帶寬總計需(xu)要約(yue)2Mbps。

智(zhi)能(neng)動(dong)作行(xing)為識(shi)別審(shen)計系統應(ying)用組成模(mo)(mo)塊(kuai)包括智(zhi)能(neng)行(xing)為檢測(ce)模(mo)(mo)塊(kuai)、智(zhi)能(neng)終端違規(gui)識(shi)別模(mo)(mo)塊(kuai)、智(zhi)能(neng)聯合檢測(ce)模(mo)(mo)塊(kuai)、數據處理(li)模(mo)(mo)塊(kuai)、智(zhi)能(neng)告警與取證模(mo)(mo)塊(kuai)等(deng)五個模(mo)(mo)塊(kuai)，每(mei)個模(mo)(mo)塊(kuai)具有不同(tong)的(de)功能(neng)并(bing)相互關聯、協同(tong)處置。

(1)智能行為檢測模塊

智能行為(wei)檢測模塊主要用于快速、準確識別錄像、影像中辦(ban)公人(ren)員的(de)異常(chang)行為(wei)，如拍照、伏案抄寫、人(ren)員離崗等。

智能(neng)動作行(xing)(xing)為識(shi)別審計系統采(cai)(cai)用(yong)計算(suan)(suan)(suan)耗(hao)時短(duan)、識(shi)別精度高以(yi)(yi)及便于平(ping)臺部(bu)署的(de)(de)YOLO5算(suan)(suan)(suan)法。在(zai)訓(xun)練(lian)(lian)數(shu)據(ju)(ju)(ju)集方(fang)面，采(cai)(cai)用(yong)“公(gong)開(kai)數(shu)據(ju)(ju)(ju)+自(zi)有采(cai)(cai)集數(shu)據(ju)(ju)(ju)”相結(jie)(jie)合(he)的(de)(de)方(fang)式，公(gong)開(kai)數(shu)據(ju)(ju)(ju)使用(yong)COCO、Object 365等被行(xing)(xing)業認可的(de)(de)數(shu)據(ju)(ju)(ju)集的(de)(de)公(gong)開(kai)數(shu)據(ju)(ju)(ju)，保障了訓(xun)練(lian)(lian)樣本的(de)(de)有效(xiao)性(xing)；自(zi)有采(cai)(cai)集數(shu)據(ju)(ju)(ju)結(jie)(jie)合(he)實際的(de)(de)辦公(gong)場景及模擬的(de)(de)違規行(xing)(xing)為場景，以(yi)(yi)保障數(shu)據(ju)(ju)(ju)的(de)(de)適用(yong)性(xing)。在(zai)模型(xing)訓(xun)練(lian)(lian)方(fang)面，選取YOLO5n-v6的(de)(de)模型(xing)結(jie)(jie)構，采(cai)(cai)用(yong)“預訓(xun)練(lian)(lian)+微(wei)調(diao)”的(de)(de)方(fang)式，通過公(gong)開(kai)數(shu)據(ju)(ju)(ju)進行(xing)(xing)模型(xing)預訓(xun)練(lian)(lian)，將(jiang)自(zi)有采(cai)(cai)集數(shu)據(ju)(ju)(ju)在(zai)預訓(xun)練(lian)(lian)的(de)(de)基(ji)礎上(shang)進行(xing)(xing)微(wei)調(diao)，在(zai)微(wei)調(diao)過程中不(bu)凍結(jie)(jie)任何學習層。基(ji)于YOLO5算(suan)(suan)(suan)法，系統構建(jian)了拍照行(xing)(xing)為、伏案抄寫、人員(yuan)離(li)崗三個異常行(xing)(xing)為識(shi)別模型(xing)并進行(xing)(xing)多輪模型(xing)調(diao)優，經(jing)實際應用(yong)檢測，三個模型(xing)的(de)(de)識(shi)別準確率均在(zai)95%以(yi)(yi)上(shang)。

(2)智能終端違規識別模塊

智能終端違(wei)(wei)規(gui)識(shi)(shi)(shi)(shi)別(bie)模塊(kuai)主要記錄(lu)并(bing)識(shi)(shi)(shi)(shi)別(bie)人員(yuan)(yuan)在桌面(mian)終端的(de)(de)異(yi)(yi)常(chang)行(xing)為(wei)(wei)，基于OCR技術(shu)將(jiang)人員(yuan)(yuan)桌面(mian)終端的(de)(de)錄(lu)屏記錄(lu)轉(zhuan)化為(wei)(wei)文本(ben)內容進行(xing)存儲，同(tong)時(shi)記錄(lu)人員(yuan)(yuan)的(de)(de)鍵(jian)盤、鼠標等操作(zuo)行(xing)為(wei)(wei)日(ri)志(zhi)(zhi)。將(jiang)錄(lu)屏數(shu)(shu)(shu)據以及(ji)操作(zuo)日(ri)志(zhi)(zhi)數(shu)(shu)(shu)據相結(jie)合，利用(yong)自然語言處理、機器(qi)學習(xi)、深度學習(xi)技術(shu)，并(bing)結(jie)合浦(pu)發卡(ka)中心實際(ji)應用(yong)需求，覆蓋(gai)敏(min)感(gan)數(shu)(shu)(shu)據訪(fang)問(wen)高危操作(zuo)及(ji)異(yi)(yi)常(chang)操作(zuo)兩類行(xing)為(wei)(wei)場景。在敏(min)感(gan)數(shu)(shu)(shu)據訪(fang)問(wen)方面(mian)，采(cai)用(yong)命名實體(ti)識(shi)(shi)(shi)(shi)別(bie)(NER)技術(shu)和正則匹配法識(shi)(shi)(shi)(shi)別(bie)文本(ben)中的(de)(de)敏(min)感(gan)數(shu)(shu)(shu)據及(ji)敏(min)感(gan)數(shu)(shu)(shu)據類型;在異(yi)(yi)常(chang)操作(zuo)行(xing)為(wei)(wei)方面(mian)，采(cai)用(yong)核密度估計算法(KDE)識(shi)(shi)(shi)(shi)別(bie)操作(zuo)事件日(ri)志(zhi)(zhi)反映的(de)(de)異(yi)(yi)常(chang)操作(zuo)行(xing)為(wei)(wei)和高危操作(zuo)行(xing)為(wei)(wei)。終端違(wei)(wei)規(gui)識(shi)(shi)(shi)(shi)別(bie)邏輯如圖3所示。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智(zhi)能(neng)聯合檢測(ce)(ce)模(mo)(mo)塊(kuai)基于智(zhi)能(neng)行為檢測(ce)(ce)模(mo)(mo)塊(kuai)與智(zhi)能(neng)終端違(wei)規識(shi)別(bie)模(mo)(mo)塊(kuai)的(de)識(shi)別(bie)過程及(ji)結果數(shu)(shu)(shu)據(ju)(ju)進行聯動(dong)識(shi)別(bie)檢測(ce)(ce)，主(zhu)要解決(jue)智(zhi)能(neng)終端違(wei)規識(shi)別(bie)模(mo)(mo)塊(kuai)無法準確(que)認定違(wei)規事件等問(wen)題(ti)。智(zhi)能(neng)聯合檢測(ce)(ce)模(mo)(mo)型基于桌面終端以(yi)及(ji)員(yuan)工行為數(shu)(shu)(shu)據(ju)(ju)，采(cai)用時間(jian)序列預測(ce)(ce)模(mo)(mo)型，對員(yuan)工異(yi)常(chang)違(wei)規行為進行識(shi)別(bie)與判定，主(zhu)要識(shi)別(bie)的(de)敏感數(shu)(shu)(shu)據(ju)(ju)泄(xie)露(lu)核心場(chang)(chang)景包(bao)括“敏感數(shu)(shu)(shu)據(ju)(ju)訪問(wen)+高(gao)保密網站、高(gao)保密文檔”“拍(pai)照、伏案(an)抄寫+離(li)開未(wei)鎖屏(ping)”等。經實(shi)際(ji)驗證測(ce)(ce)試(shi)，智(zhi)能(neng)聯合檢測(ce)(ce)模(mo)(mo)塊(kuai)識(shi)別(bie)的(de)綜合準確(que)率達95%以(yi)上。此(ci)外，智(zhi)能(neng)聯合檢測(ce)(ce)模(mo)(mo)塊(kuai)建立(li)了(le)系統協同機(ji)制(zhi)與功能(neng)擴展機(ji)制(zhi)，未(wei)來可以(yi)快速地納入(ru)新的(de)監(jian)測(ce)(ce)項目和監(jian)測(ce)(ce)場(chang)(chang)景，有(you)助于銀(yin)行對合規要求的(de)即時響應。

(4)AI數據處理模塊

AI數(shu)據處理模塊的數(shu)據處理速率(lv)可達(da)到每(mei)(mei)秒800張圖(tu)片，能夠同時支持(chi)160臺(tai)終(zhong)端進行數(shu)據采集(ji)、分析(xi)，即每(mei)(mei)個終(zhong)端每(mei)(mei)秒可采集(ji)、分析(xi)5張圖(tu)像的數(shu)據，且不會產生(sheng)數(shu)據堆積的風險(xian)，從而增強了(le)智能動(dong)作行為(wei)識(shi)別審計系(xi)統整(zheng)體的處理速度(du)和(he)準確率(lv)。

(5)智能告警與取證模塊

智(zhi)能(neng)(neng)告警(jing)(jing)與取證(zheng)模塊(kuai)(kuai)主要用(yong)于實現(xian)違(wei)(wei)規事(shi)件阻斷、告警(jing)(jing)信息觸(chu)達(da)以及證(zheng)據(ju)鏈留存(cun)與取證(zheng)。該模塊(kuai)(kuai)通(tong)過彈屏等方式(shi)對操作人員進行(xing)告警(jing)(jing)并(bing)阻斷其違(wei)(wei)規行(xing)為，基于違(wei)(wei)規告警(jing)(jing)事(shi)件歸集、整(zheng)理相(xiang)(xiang)關(guan)證(zheng)據(ju)鏈并(bing)進行(xing)留存(cun)，且支持(chi)后(hou)續一鍵調閱。智(zhi)能(neng)(neng)告警(jing)(jing)與取證(zheng)模塊(kuai)(kuai)下的告警(jing)(jing)信息觸(chu)達(da)功能(neng)(neng)模塊(kuai)(kuai)將在違(wei)(wei)規事(shi)件被識別后(hou)的第一時間將相(xiang)(xiang)關(guan)信息發(fa)送給(gei)相(xiang)(xiang)關(guan)負責人，便于其對違(wei)(wei)規事(shi)件進行(xing)及時處理。

智能動(dong)作行(xing)(xing)為識(shi)別審(shen)計系統(tong)可迅速識(shi)別潛在(zai)的(de)敏感(gan)數據訪問(wen)或(huo)信息泄露行(xing)(xing)為，增(zeng)強了銀行(xing)(xing)在(zai)人員違(wei)規行(xing)(xing)為方面的(de)防護能力。一旦系統(tong)檢(jian)測到異(yi)常行(xing)(xing)為，會立即(ji)發出(chu)告警(jing)并采取(qu)(qu)必要措施，以屏幕錄(lu)像和(he)人員錄(lu)像的(de)形式(shi)記錄(lu)和(he)定位違(wei)規操作，以便銀行(xing)(xing)進行(xing)(xing)后續的(de)調查(cha)和(he)取(qu)(qu)證。

智(zhi)能(neng)動作(zuo)行為識別審計系(xi)統為浦發卡(ka)(ka)中(zhong)心提供(gong)了(le)便捷(jie)的(de)人(ren)員監控工具(ju)，并可根(gen)據監測需(xu)要對系(xi)統進行功能(neng)拓展，以適應不斷變化(hua)的(de)監管環(huan)境，使(shi)浦發卡(ka)(ka)中(zhong)心能(neng)夠快(kuai)速響應合規要求，提升信息安全審計工作(zuo)的(de)智(zhi)能(neng)化(hua)和便捷(jie)性，減少傳統管理模式中(zhong)人(ren)工執行的(de)工作(zuo)量。

智能動作行為識(shi)別審計系統將YOLO5算(suan)法等成熟的先進技術應用在內控管理領(ling)域，不(bu)僅降低了數(shu)據(ju)泄露的風險(xian)，而且有效(xiao)提(ti)升了銀行的信息(xi)安全防護水平和(he)內部威脅防范能力。