隨著業(ye)務數(shu)字化變革(ge)的(de)(de)加速(su)，銀(yin)行業(ye)面臨的(de)(de)內(nei)外部(bu)(bu)信息安全(quan)挑戰(zhan)愈發(fa)嚴峻，其中內(nei)部(bu)(bu)挑戰(zhan)主要(yao)源于銀(yin)行內(nei)控和各項管理要(yao)求的(de)(de)日益嚴格，尤其是近年來相關部(bu)(bu)門對(dui)(dui)于個人信息安全(quan)保(bao)護要(yao)求的(de)(de)不斷升(sheng)級。相對(dui)(dui)而(er)言，銀(yin)行對(dui)(dui)于內(nei)部(bu)(bu)人員(yuan)(yuan)違(wei)(wei)規行為(wei)的(de)(de)防(fang)范意(yi)識較為(wei)薄(bo)弱，對(dui)(dui)于拍(pai)照和抄寫內(nei)部(bu)(bu)信息等違(wei)(wei)規行為(wei)缺少有效的(de)(de)技術管理手(shou)段(duan)。雖然(ran)一些監(jian)(jian)控審計類的(de)(de)產品可用(yong)于智能監(jian)(jian)測(ce)員(yuan)(yuan)工行為(wei)，但欠缺對(dui)(dui)系統內(nei)部(bu)(bu)數(shu)據的(de)(de)審計能力，以及對(dui)(dui)于員(yuan)(yuan)工行為(wei)與系統操作(zuo)的(de)(de)關聯分析，導致無法形成完整的(de)(de)證據鏈。因此，如何(he)同步采集(ji)人員(yuan)(yuan)行為(wei)和終端的(de)(de)操作(zuo)行為(wei)，并(bing)將這(zhe)兩(liang)種行為(wei)進行有效結合以快(kuai)速(su)阻斷違(wei)(wei)規行為(wei)信息，是業(ye)界亟待解決(jue)的(de)(de)問題(ti)。

近期，上海(hai)浦東(dong)發(fa)展銀行(xing)信用(yong)卡中心(xin)(以(yi)下簡(jian)稱“浦發(fa)卡中心(xin)”)采(cai)用(yong)人(ren)工智能(neng)(neng)和(he)計(ji)算機視覺技術研發(fa)了(le)智能(neng)(neng)動(dong)作(zuo)行(xing)為(wei)(wei)識別(bie)審計(ji)系(xi)(xi)統(tong)，實現了(le)監(jian)(jian)控(kong)和(he)分析人(ren)員(yuan)(yuan)行(xing)為(wei)(wei)以(yi)及終端敏感操(cao)(cao)作(zuo)的(de)(de)(de)聯(lian)合審計(ji)。這一系(xi)(xi)統(tong)整合了(le)多(duo)模態數據檢索技術，能(neng)(neng)夠捕獲員(yuan)(yuan)工在工作(zuo)過程(cheng)中的(de)(de)(de)異常行(xing)為(wei)(wei)，對員(yuan)(yuan)工可(ke)能(neng)(neng)訪問或處理的(de)(de)(de)敏感數據也同步進行(xing)內容(rong)識別(bie)監(jian)(jian)測。該系(xi)(xi)統(tong)適用(yong)于根(gen)據監(jian)(jian)管(guan)要(yao)求和(he)行(xing)內制度需要(yao)對PC終端行(xing)為(wei)(wei)和(he)辦公人(ren)員(yuan)(yuan)動(dong)作(zuo)行(xing)為(wei)(wei)進行(xing)整體監(jian)(jian)控(kong)的(de)(de)(de)高安全級別(bie)工作(zuo)場(chang)景，如(ru)容(rong)易造成企業(ye)信息(xi)或其他重要(yao)信息(xi)泄(xie)露的(de)(de)(de)業(ye)務環(huan)境。尤其在《中華人(ren)民共(gong)和(he)國(guo)個人(ren)信息(xi)保(bao)護法》頒布后，相關(guan)部門對于數據使用(yong)環(huan)節的(de)(de)(de)要(yao)求更(geng)加嚴格，銀行(xing)在數據操(cao)(cao)作(zuo)和(he)系(xi)(xi)統(tong)維護等關(guan)鍵領(ling)域的(de)(de)(de)安全要(yao)求更(geng)高。

智(zhi)能(neng)(neng)(neng)(neng)(neng)動作行為(wei)識(shi)別審計系(xi)統采用SpringBoot、Kafka、Redis等(deng)(deng)主流技(ji)術(shu)，以確保(bao)高(gao)性能(neng)(neng)(neng)(neng)(neng)和高(gao)并發(fa)(fa)處理(li)。其中SpringBoot應用于Web后端搭(da)建，為(wei)用戶提(ti)供Java后端基(ji)礎(chu)功能(neng)(neng)(neng)(neng)(neng)的接口服務(wu)，提(ti)高(gao)程序的開發(fa)(fa)效率;Kafka作為(wei)消(xiao)息(xi)中間件，負責日志、告(gao)警(jing)等(deng)(deng)消(xiao)息(xi)的轉發(fa)(fa)，通(tong)過消(xiao)息(xi)隊列、消(xiao)息(xi)確認機制，保(bao)障高(gao)并發(fa)(fa)場景(jing)下海量日志、告(gao)警(jing)消(xiao)息(xi)的高(gao)速轉發(fa)(fa)及數(shu)據(ju)的完整性;Redis作為(wei)緩存(cun)數(shu)據(ju)庫，主要負責對平臺用戶登錄(lu)信息(xi)、告(gao)警(jing)、圖片等(deng)(deng)數(shu)據(ju)進(jin)行緩存(cun)，通(tong)過Redis的內存(cun)緩存(cun)機制，可提(ti)高(gao)告(gao)警(jing)、圖片等(deng)(deng)數(shu)據(ju)在(zai)接口調用時的讀寫速度，縮短單(dan)個接口的調用時長，提(ti)升(sheng)高(gao)并發(fa)(fa)的性能(neng)(neng)(neng)(neng)(neng)。智(zhi)能(neng)(neng)(neng)(neng)(neng)動作行為(wei)識(shi)別審計系(xi)統技(ji)術(shu)架(jia)構如(ru)圖1所示。

圖1 智能動作行為識別審計系統技術架構

智(zhi)能(neng)(neng)動(dong)作(zuo)行為識(shi)別(bie)審(shen)計(ji)(ji)系(xi)統(tong)應用平(ping)臺由客戶端(duan)(duan)(duan)和(he)后(hou)端(duan)(duan)(duan)服(fu)務(wu)(wu)(wu)(wu)組(zu)成，其中(zhong)客戶端(duan)(duan)(duan)安裝在前(qian)端(duan)(duan)(duan)的(de)(de)終端(duan)(duan)(duan)側，根據后(hou)臺配置(zhi)策略操控終端(duan)(duan)(duan)上安裝的(de)(de)攝像頭硬(ying)件;后(hou)端(duan)(duan)(duan)服(fu)務(wu)(wu)(wu)(wu)由管(guan)理服(fu)務(wu)(wu)(wu)(wu)器(qi)、AI服(fu)務(wu)(wu)(wu)(wu)器(qi)和(he)流媒(mei)體服(fu)務(wu)(wu)(wu)(wu)器(qi)組(zu)成。客戶端(duan)(duan)(duan)負責人員行為視頻數(shu)據、終端(duan)(duan)(duan)錄屏(ping)數(shu)據以及(ji)文本日志(zhi)數(shu)據的(de)(de)采(cai)集與(yu)發(fa)送;后(hou)端(duan)(duan)(duan)服(fu)務(wu)(wu)(wu)(wu)中(zhong)的(de)(de)流媒(mei)體服(fu)務(wu)(wu)(wu)(wu)器(qi)負責客戶端(duan)(duan)(duan)多種數(shu)據的(de)(de)接收(shou)，AI服(fu)務(wu)(wu)(wu)(wu)器(qi)針對視頻數(shu)據進行智(zhi)能(neng)(neng)識(shi)別(bie)，管(guan)理服(fu)務(wu)(wu)(wu)(wu)器(qi)對策略配置(zhi)、監控數(shu)據、智(zhi)能(neng)(neng)識(shi)別(bie)數(shu)據進行檢索與(yu)查看。智(zhi)能(neng)(neng)動(dong)作(zuo)行為識(shi)別(bie)審(shen)計(ji)(ji)系(xi)統(tong)應用架構如圖2所示(shi)。

圖2 智能動作行為識別審計系統應用架構

智能動(dong)作(zuo)(zuo)行(xing)為(wei)(wei)識別審計(ji)系統(tong)主要(yao)采(cai)集終(zhong)端的(de)桌面視頻(pin)、攝(she)像頭視頻(pin)、終(zhong)端行(xing)為(wei)(wei)文本日(ri)志(鼠(shu)標(biao)點擊、鍵盤、應用進程(cheng)等(deng)，根(gen)據(ju)錄(lu)屏(ping)策略控制采(cai)集范(fan)圍)。以終(zhong)端為(wei)(wei)Intel Xeon Gold 5218處理(li)器、主頻(pin)率(lv)為(wei)(wei)2.30GHz，內存(cun)為(wei)(wei)32G，操作(zuo)(zuo)系統(tong)為(wei)(wei)Windows Server 2016為(wei)(wei)例，在(zai)對終(zhong)端性能進行(xing)平衡考量(liang)時(shi)，在(zai)滿足動(dong)作(zuo)(zuo)識別要(yao)求(qiu)的(de)前提下，調(diao)整(zheng)錄(lu)屏(ping)畫(hua)質為(wei)(wei)“低”，錄(lu)像攝(she)像頭分(fen)(fen)辨(bian)率(lv)為(wei)(wei)640×480ppi，幀率(lv)為(wei)(wei)15fps，此時(shi)CPU占用約14%，內存(cun)占用約1%。在(zai)對數據(ju)傳輸進行(xing)考量(liang)時(shi)，將(jiang)終(zhong)端錄(lu)像分(fen)(fen)辨(bian)率(lv)調(diao)整(zheng)為(wei)(wei)480ppi、錄(lu)屏(ping)分(fen)(fen)辨(bian)率(lv)調(diao)整(zheng)為(wei)(wei)1080ppi，行(xing)為(wei)(wei)日(ri)志傳輸速率(lv)按照1條/秒，網(wang)絡帶寬(kuan)總計(ji)需(xu)要(yao)約2Mbps。

智能動作行為(wei)(wei)識別審計系統應用(yong)組(zu)成(cheng)模(mo)塊(kuai)(kuai)(kuai)包括(kuo)智能行為(wei)(wei)檢測模(mo)塊(kuai)(kuai)(kuai)、智能終端違(wei)規識別模(mo)塊(kuai)(kuai)(kuai)、智能聯(lian)(lian)合檢測模(mo)塊(kuai)(kuai)(kuai)、數據(ju)處理(li)模(mo)塊(kuai)(kuai)(kuai)、智能告警與取(qu)證模(mo)塊(kuai)(kuai)(kuai)等五個模(mo)塊(kuai)(kuai)(kuai)，每個模(mo)塊(kuai)(kuai)(kuai)具有不同的(de)功(gong)能并相互關(guan)聯(lian)(lian)、協同處置(zhi)。

(1)智能行為檢測模塊

智能(neng)行為檢(jian)測模塊主要(yao)用于快(kuai)速、準(zhun)確識別錄像(xiang)、影像(xiang)中辦(ban)公人(ren)員(yuan)的異常行為，如拍照、伏案(an)抄寫(xie)、人(ren)員(yuan)離崗等。

智能動作行(xing)(xing)為(wei)識(shi)別審計系統采用計算(suan)耗時短、識(shi)別精度高以及便于(yu)平臺(tai)部署的(de)(de)(de)(de)YOLO5算(suan)法。在(zai)(zai)訓(xun)(xun)練(lian)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)集方(fang)面，采用“公(gong)開(kai)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)+自有采集數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)”相結合的(de)(de)(de)(de)方(fang)式，公(gong)開(kai)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)使(shi)用COCO、Object 365等被行(xing)(xing)業認(ren)可(ke)的(de)(de)(de)(de)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)集的(de)(de)(de)(de)公(gong)開(kai)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)，保(bao)障了訓(xun)(xun)練(lian)樣本的(de)(de)(de)(de)有效(xiao)性；自有采集數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)結合實(shi)際的(de)(de)(de)(de)辦公(gong)場(chang)景及模(mo)擬的(de)(de)(de)(de)違規(gui)行(xing)(xing)為(wei)場(chang)景，以保(bao)障數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)的(de)(de)(de)(de)適(shi)用性。在(zai)(zai)模(mo)型訓(xun)(xun)練(lian)方(fang)面，選取(qu)YOLO5n-v6的(de)(de)(de)(de)模(mo)型結構，采用“預(yu)(yu)訓(xun)(xun)練(lian)+微調(diao)”的(de)(de)(de)(de)方(fang)式，通過(guo)公(gong)開(kai)數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)進(jin)行(xing)(xing)模(mo)型預(yu)(yu)訓(xun)(xun)練(lian)，將自有采集數(shu)(shu)(shu)(shu)(shu)據(ju)(ju)在(zai)(zai)預(yu)(yu)訓(xun)(xun)練(lian)的(de)(de)(de)(de)基(ji)礎上進(jin)行(xing)(xing)微調(diao)，在(zai)(zai)微調(diao)過(guo)程中不凍結任何學(xue)習(xi)層。基(ji)于(yu)YOLO5算(suan)法，系統構建了拍照行(xing)(xing)為(wei)、伏案抄寫、人員離(li)崗(gang)三(san)個(ge)異常行(xing)(xing)為(wei)識(shi)別模(mo)型并進(jin)行(xing)(xing)多輪模(mo)型調(diao)優，經實(shi)際應用檢(jian)測，三(san)個(ge)模(mo)型的(de)(de)(de)(de)識(shi)別準確率(lv)均在(zai)(zai)95%以上。

(2)智能終端違規識別模塊

智能終端(duan)(duan)違規識(shi)別(bie)(bie)模(mo)塊主要記(ji)錄并(bing)識(shi)別(bie)(bie)人員(yuan)(yuan)在(zai)桌(zhuo)面(mian)終端(duan)(duan)的(de)異(yi)常(chang)行(xing)為，基于OCR技(ji)術將(jiang)人員(yuan)(yuan)桌(zhuo)面(mian)終端(duan)(duan)的(de)錄屏記(ji)錄轉化為文本(ben)內容(rong)進(jin)行(xing)存儲，同時記(ji)錄人員(yuan)(yuan)的(de)鍵盤(pan)、鼠(shu)標等操(cao)作(zuo)行(xing)為日志。將(jiang)錄屏數(shu)(shu)據(ju)(ju)(ju)以及操(cao)作(zuo)日志數(shu)(shu)據(ju)(ju)(ju)相結合，利用(yong)(yong)自(zi)然語言處(chu)理、機器學習、深度學習技(ji)術，并(bing)結合浦發卡中心實際(ji)應用(yong)(yong)需求(qiu)，覆(fu)蓋敏感數(shu)(shu)據(ju)(ju)(ju)訪問(wen)高危(wei)操(cao)作(zuo)及異(yi)常(chang)操(cao)作(zuo)兩類行(xing)為場(chang)景。在(zai)敏感數(shu)(shu)據(ju)(ju)(ju)訪問(wen)方面(mian)，采用(yong)(yong)命名實體識(shi)別(bie)(bie)(NER)技(ji)術和正則匹配法(fa)識(shi)別(bie)(bie)文本(ben)中的(de)敏感數(shu)(shu)據(ju)(ju)(ju)及敏感數(shu)(shu)據(ju)(ju)(ju)類型;在(zai)異(yi)常(chang)操(cao)作(zuo)行(xing)為方面(mian)，采用(yong)(yong)核密度估計算法(fa)(KDE)識(shi)別(bie)(bie)操(cao)作(zuo)事(shi)件日志反映(ying)的(de)異(yi)常(chang)操(cao)作(zuo)行(xing)為和高危(wei)操(cao)作(zuo)行(xing)為。終端(duan)(duan)違規識(shi)別(bie)(bie)邏輯如圖(tu)3所示。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智(zhi)能(neng)聯(lian)合檢測模(mo)(mo)塊基于(yu)智(zhi)能(neng)行為(wei)檢測模(mo)(mo)塊與智(zhi)能(neng)終端(duan)違(wei)規識(shi)別(bie)(bie)模(mo)(mo)塊的(de)(de)識(shi)別(bie)(bie)過程(cheng)及結果數(shu)據進(jin)行聯(lian)動識(shi)別(bie)(bie)檢測，主要(yao)解決智(zhi)能(neng)終端(duan)違(wei)規識(shi)別(bie)(bie)模(mo)(mo)塊無法準確認定違(wei)規事件等(deng)問題。智(zhi)能(neng)聯(lian)合檢測模(mo)(mo)型基于(yu)桌面終端(duan)以及員工(gong)行為(wei)數(shu)據，采用(yong)時(shi)間序(xu)列預(yu)測模(mo)(mo)型，對員工(gong)異常違(wei)規行為(wei)進(jin)行識(shi)別(bie)(bie)與判定，主要(yao)識(shi)別(bie)(bie)的(de)(de)敏感數(shu)據泄露核(he)心場景包(bao)括(kuo)“敏感數(shu)據訪問+高(gao)保密(mi)網站、高(gao)保密(mi)文檔”“拍照、伏(fu)案抄寫+離開未(wei)鎖(suo)屏”等(deng)。經實際(ji)驗證測試(shi)，智(zhi)能(neng)聯(lian)合檢測模(mo)(mo)塊識(shi)別(bie)(bie)的(de)(de)綜合準確率(lv)達95%以上(shang)。此外(wai)，智(zhi)能(neng)聯(lian)合檢測模(mo)(mo)塊建立了系統協同(tong)機制(zhi)與功能(neng)擴展機制(zhi)，未(wei)來可以快速(su)地納入新的(de)(de)監測項目和(he)監測場景，有助(zhu)于(yu)銀(yin)行對合規要(yao)求的(de)(de)即時(shi)響應。

(4)AI數據處理模塊

AI數(shu)(shu)(shu)據(ju)處理模(mo)塊的數(shu)(shu)(shu)據(ju)處理速(su)率(lv)(lv)可達到每(mei)秒(miao)(miao)800張(zhang)圖片，能(neng)夠同時支持(chi)160臺終端進行數(shu)(shu)(shu)據(ju)采(cai)集、分析(xi)，即(ji)每(mei)個終端每(mei)秒(miao)(miao)可采(cai)集、分析(xi)5張(zhang)圖像的數(shu)(shu)(shu)據(ju)，且不會產生(sheng)數(shu)(shu)(shu)據(ju)堆積(ji)的風險，從而增(zeng)強了(le)智(zhi)能(neng)動作行為識別審計系統(tong)整體的處理速(su)度和準確率(lv)(lv)。

(5)智能告警與取證模塊

智(zhi)能(neng)告(gao)(gao)警(jing)(jing)(jing)與取(qu)證(zheng)(zheng)模塊主(zhu)要用于(yu)實(shi)現違(wei)(wei)規事(shi)件(jian)阻斷、告(gao)(gao)警(jing)(jing)(jing)信息觸達以及(ji)證(zheng)(zheng)據(ju)鏈留(liu)存(cun)與取(qu)證(zheng)(zheng)。該模塊通過彈屏等(deng)方式對操作人員進行(xing)告(gao)(gao)警(jing)(jing)(jing)并(bing)阻斷其違(wei)(wei)規行(xing)為，基(ji)于(yu)違(wei)(wei)規告(gao)(gao)警(jing)(jing)(jing)事(shi)件(jian)歸集、整理(li)相關(guan)(guan)證(zheng)(zheng)據(ju)鏈并(bing)進行(xing)留(liu)存(cun)，且(qie)支持后續一鍵調(diao)閱(yue)。智(zhi)能(neng)告(gao)(gao)警(jing)(jing)(jing)與取(qu)證(zheng)(zheng)模塊下的告(gao)(gao)警(jing)(jing)(jing)信息觸達功能(neng)模塊將在違(wei)(wei)規事(shi)件(jian)被識別后的第一時間將相關(guan)(guan)信息發送給(gei)相關(guan)(guan)負責(ze)人，便于(yu)其對違(wei)(wei)規事(shi)件(jian)進行(xing)及(ji)時處理(li)。

智能(neng)動(dong)作行(xing)(xing)為識別(bie)審計系(xi)統可迅速識別(bie)潛在的敏(min)感數(shu)據訪問或信息泄露(lu)行(xing)(xing)為，增強了銀行(xing)(xing)在人員(yuan)違(wei)規行(xing)(xing)為方面的防護能(neng)力。一旦系(xi)統檢(jian)測到異常行(xing)(xing)為，會立即發出告(gao)警并采取必要措施，以屏(ping)幕錄像(xiang)和(he)人員(yuan)錄像(xiang)的形式記錄和(he)定位(wei)違(wei)規操(cao)作，以便銀行(xing)(xing)進行(xing)(xing)后續的調查(cha)和(he)取證。

智能動作(zuo)行為(wei)識別審計系(xi)統(tong)為(wei)浦發卡中心(xin)(xin)提供(gong)了便(bian)捷的人(ren)員監控(kong)工(gong)具，并可根(gen)據(ju)監測(ce)需要對系(xi)統(tong)進行功能拓展，以適(shi)應(ying)(ying)不斷變化的監管環境，使浦發卡中心(xin)(xin)能夠快(kuai)速響應(ying)(ying)合規要求，提升信息安全審計工(gong)作(zuo)的智能化和便(bian)捷性(xing)，減少傳統(tong)管理模式中人(ren)工(gong)執(zhi)行的工(gong)作(zuo)量。

智能(neng)(neng)動作行為識(shi)別審計系統(tong)將YOLO5算(suan)法等成熟的(de)先進技術應用(yong)在(zai)內(nei)控(kong)管(guan)理(li)領域，不僅降低(di)了數據泄露的(de)風險，而且有效提升了銀行的(de)信息安全防(fang)護水(shui)平和內(nei)部威(wei)脅防(fang)范能(neng)(neng)力。