隨著業(ye)務數字化變革的(de)加速，銀(yin)行(xing)(xing)(xing)(xing)(xing)業(ye)面(mian)臨的(de)內外部(bu)信(xin)(xin)(xin)息(xi)安(an)全(quan)挑戰愈發嚴峻，其中內部(bu)挑戰主要源于(yu)(yu)銀(yin)行(xing)(xing)(xing)(xing)(xing)內控(kong)和各項管理要求的(de)日益嚴格(ge)，尤其是(shi)近(jin)年來相(xiang)關(guan)部(bu)門(men)對(dui)于(yu)(yu)個(ge)人(ren)(ren)信(xin)(xin)(xin)息(xi)安(an)全(quan)保護要求的(de)不斷(duan)升級(ji)。相(xiang)對(dui)而(er)言，銀(yin)行(xing)(xing)(xing)(xing)(xing)對(dui)于(yu)(yu)內部(bu)人(ren)(ren)員違規(gui)行(xing)(xing)(xing)(xing)(xing)為(wei)的(de)防(fang)范意識(shi)較為(wei)薄弱，對(dui)于(yu)(yu)拍照和抄(chao)寫內部(bu)信(xin)(xin)(xin)息(xi)等違規(gui)行(xing)(xing)(xing)(xing)(xing)為(wei)缺少有效的(de)技術管理手(shou)段。雖然(ran)一(yi)些監(jian)(jian)控(kong)審計類(lei)的(de)產品可用(yong)于(yu)(yu)智(zhi)能監(jian)(jian)測員工(gong)行(xing)(xing)(xing)(xing)(xing)為(wei)，但欠缺對(dui)系(xi)統內部(bu)數據(ju)的(de)審計能力，以(yi)及對(dui)于(yu)(yu)員工(gong)行(xing)(xing)(xing)(xing)(xing)為(wei)與系(xi)統操作(zuo)的(de)關(guan)聯分析，導致無法(fa)形成(cheng)完(wan)整(zheng)的(de)證據(ju)鏈。因此(ci)，如何同步采集人(ren)(ren)員行(xing)(xing)(xing)(xing)(xing)為(wei)和終端的(de)操作(zuo)行(xing)(xing)(xing)(xing)(xing)為(wei)，并(bing)將這兩種行(xing)(xing)(xing)(xing)(xing)為(wei)進行(xing)(xing)(xing)(xing)(xing)有效結合以(yi)快速阻(zu)斷(duan)違規(gui)行(xing)(xing)(xing)(xing)(xing)為(wei)信(xin)(xin)(xin)息(xi)，是(shi)業(ye)界亟待解決的(de)問題。

近(jin)期(qi)，上(shang)海浦東發展(zhan)銀(yin)行(xing)(xing)信(xin)用(yong)卡(ka)中(zhong)(zhong)心(以(yi)下簡稱“浦發卡(ka)中(zhong)(zhong)心”)采用(yong)人(ren)工智(zhi)能和(he)計算機視(shi)覺技術(shu)研發了智(zhi)能動作行(xing)(xing)為(wei)識(shi)別審(shen)(shen)計系統，實現了監(jian)(jian)控和(he)分析(xi)人(ren)員(yuan)(yuan)行(xing)(xing)為(wei)以(yi)及終(zhong)端敏感操作的(de)(de)聯合(he)審(shen)(shen)計。這(zhe)一系統整(zheng)合(he)了多模態數(shu)據檢索技術(shu)，能夠捕獲員(yuan)(yuan)工在(zai)工作過程中(zhong)(zhong)的(de)(de)異(yi)常行(xing)(xing)為(wei)，對員(yuan)(yuan)工可能訪問或處理的(de)(de)敏感數(shu)據也同(tong)步進(jin)行(xing)(xing)內(nei)容(rong)識(shi)別監(jian)(jian)測。該系統適用(yong)于根據監(jian)(jian)管要求(qiu)和(he)行(xing)(xing)內(nei)制(zhi)度需要對PC終(zhong)端行(xing)(xing)為(wei)和(he)辦公人(ren)員(yuan)(yuan)動作行(xing)(xing)為(wei)進(jin)行(xing)(xing)整(zheng)體監(jian)(jian)控的(de)(de)高安(an)全級別工作場景，如容(rong)易造(zao)成企業信(xin)息(xi)或其他(ta)重要信(xin)息(xi)泄(xie)露(lu)的(de)(de)業務環境。尤其在(zai)《中(zhong)(zhong)華人(ren)民共和(he)國個人(ren)信(xin)息(xi)保護法》頒布后，相(xiang)關(guan)部門對于數(shu)據使用(yong)環節的(de)(de)要求(qiu)更(geng)加嚴格，銀(yin)行(xing)(xing)在(zai)數(shu)據操作和(he)系統維護等(deng)關(guan)鍵領域(yu)的(de)(de)安(an)全要求(qiu)更(geng)高。

智能(neng)動作(zuo)(zuo)行(xing)為(wei)(wei)(wei)識別(bie)審(shen)計系統(tong)采(cai)用SpringBoot、Kafka、Redis等主(zhu)流技術(shu)，以確保高(gao)性(xing)能(neng)和高(gao)并發(fa)(fa)處理(li)。其中(zhong)SpringBoot應用于(yu)Web后端搭建，為(wei)(wei)(wei)用戶提供Java后端基礎功能(neng)的(de)(de)接(jie)口(kou)(kou)服務，提高(gao)程序的(de)(de)開發(fa)(fa)效(xiao)率;Kafka作(zuo)(zuo)為(wei)(wei)(wei)消(xiao)息中(zhong)間件(jian)，負責日志、告警等消(xiao)息的(de)(de)轉(zhuan)發(fa)(fa)，通(tong)過(guo)消(xiao)息隊列、消(xiao)息確認機制，保障(zhang)高(gao)并發(fa)(fa)場景下海量日志、告警消(xiao)息的(de)(de)高(gao)速轉(zhuan)發(fa)(fa)及數(shu)(shu)據(ju)的(de)(de)完整性(xing);Redis作(zuo)(zuo)為(wei)(wei)(wei)緩存數(shu)(shu)據(ju)庫(ku)，主(zhu)要負責對平(ping)臺用戶登錄信息、告警、圖(tu)片(pian)等數(shu)(shu)據(ju)進行(xing)緩存，通(tong)過(guo)Redis的(de)(de)內存緩存機制，可提高(gao)告警、圖(tu)片(pian)等數(shu)(shu)據(ju)在接(jie)口(kou)(kou)調用時(shi)的(de)(de)讀寫速度，縮短單個(ge)接(jie)口(kou)(kou)的(de)(de)調用時(shi)長，提升高(gao)并發(fa)(fa)的(de)(de)性(xing)能(neng)。智能(neng)動作(zuo)(zuo)行(xing)為(wei)(wei)(wei)識別(bie)審(shen)計系統(tong)技術(shu)架構(gou)如圖(tu)1所(suo)示(shi)。

圖1 智能動作行為識別審計系統技術架構

智能(neng)動(dong)作行為(wei)識(shi)(shi)(shi)別(bie)(bie)審(shen)計系統應(ying)用(yong)(yong)平臺(tai)由(you)客戶(hu)端(duan)和后(hou)端(duan)服(fu)務(wu)組成，其中客戶(hu)端(duan)安裝(zhuang)在前端(duan)的(de)終端(duan)側，根據后(hou)臺(tai)配置(zhi)策(ce)(ce)略(lve)操控終端(duan)上安裝(zhuang)的(de)攝(she)像頭硬件(jian);后(hou)端(duan)服(fu)務(wu)由(you)管理(li)服(fu)務(wu)器(qi)、AI服(fu)務(wu)器(qi)和流媒體服(fu)務(wu)器(qi)組成。客戶(hu)端(duan)負(fu)責人員行為(wei)視頻數(shu)(shu)據、終端(duan)錄(lu)屏數(shu)(shu)據以(yi)及(ji)文本日志數(shu)(shu)據的(de)采集(ji)與發送;后(hou)端(duan)服(fu)務(wu)中的(de)流媒體服(fu)務(wu)器(qi)負(fu)責客戶(hu)端(duan)多種數(shu)(shu)據的(de)接收，AI服(fu)務(wu)器(qi)針對(dui)視頻數(shu)(shu)據進行智能(neng)識(shi)(shi)(shi)別(bie)(bie)，管理(li)服(fu)務(wu)器(qi)對(dui)策(ce)(ce)略(lve)配置(zhi)、監控數(shu)(shu)據、智能(neng)識(shi)(shi)(shi)別(bie)(bie)數(shu)(shu)據進行檢(jian)索與查(cha)看。智能(neng)動(dong)作行為(wei)識(shi)(shi)(shi)別(bie)(bie)審(shen)計系統應(ying)用(yong)(yong)架構如圖2所(suo)示。

圖2 智能動作行為識別審計系統應用架構

智能動(dong)作(zuo)行(xing)為(wei)(wei)識別(bie)審計(ji)系統(tong)(tong)主要采(cai)集終端(duan)的桌面視頻、攝(she)像(xiang)(xiang)頭視頻、終端(duan)行(xing)為(wei)(wei)文本日志(zhi)(鼠標點擊、鍵(jian)盤、應用(yong)(yong)進(jin)程等，根(gen)據錄(lu)屏(ping)策略控制采(cai)集范圍(wei))。以終端(duan)為(wei)(wei)Intel Xeon Gold 5218處理器、主頻率(lv)為(wei)(wei)2.30GHz，內存為(wei)(wei)32G，操作(zuo)系統(tong)(tong)為(wei)(wei)Windows Server 2016為(wei)(wei)例，在對(dui)終端(duan)性(xing)能進(jin)行(xing)平衡考量(liang)時，在滿足動(dong)作(zuo)識別(bie)要求的前提下，調(diao)整(zheng)(zheng)錄(lu)屏(ping)畫(hua)質為(wei)(wei)“低”，錄(lu)像(xiang)(xiang)攝(she)像(xiang)(xiang)頭分(fen)辨率(lv)為(wei)(wei)640×480ppi，幀率(lv)為(wei)(wei)15fps，此時CPU占用(yong)(yong)約(yue)14%，內存占用(yong)(yong)約(yue)1%。在對(dui)數據傳(chuan)輸(shu)進(jin)行(xing)考量(liang)時，將終端(duan)錄(lu)像(xiang)(xiang)分(fen)辨率(lv)調(diao)整(zheng)(zheng)為(wei)(wei)480ppi、錄(lu)屏(ping)分(fen)辨率(lv)調(diao)整(zheng)(zheng)為(wei)(wei)1080ppi，行(xing)為(wei)(wei)日志(zhi)傳(chuan)輸(shu)速率(lv)按照1條/秒(miao)，網(wang)絡帶(dai)寬總計(ji)需要約(yue)2Mbps。

智(zhi)(zhi)能動作(zuo)行為(wei)識別審計系統(tong)應用組成模(mo)塊(kuai)(kuai)(kuai)包括智(zhi)(zhi)能行為(wei)檢(jian)(jian)測模(mo)塊(kuai)(kuai)(kuai)、智(zhi)(zhi)能終端違規識別模(mo)塊(kuai)(kuai)(kuai)、智(zhi)(zhi)能聯(lian)合檢(jian)(jian)測模(mo)塊(kuai)(kuai)(kuai)、數據處(chu)理模(mo)塊(kuai)(kuai)(kuai)、智(zhi)(zhi)能告警與取證(zheng)模(mo)塊(kuai)(kuai)(kuai)等(deng)五個(ge)模(mo)塊(kuai)(kuai)(kuai)，每個(ge)模(mo)塊(kuai)(kuai)(kuai)具有不同的功能并相互(hu)關聯(lian)、協同處(chu)置。

(1)智能行為檢測模塊

智(zhi)能(neng)行為檢測(ce)模塊主要用于(yu)快速、準確識別錄(lu)像(xiang)、影像(xiang)中辦(ban)公人員的(de)異常行為，如拍照、伏案抄寫、人員離崗等。

智能動作行(xing)為識(shi)(shi)別(bie)(bie)審計(ji)系統(tong)采(cai)(cai)用(yong)(yong)(yong)計(ji)算耗(hao)時短、識(shi)(shi)別(bie)(bie)精度(du)高以及(ji)便于(yu)平(ping)臺部署(shu)的(de)(de)(de)(de)YOLO5算法(fa)。在(zai)(zai)訓練數(shu)(shu)據(ju)(ju)(ju)集(ji)方面(mian)，采(cai)(cai)用(yong)(yong)(yong)“公開(kai)數(shu)(shu)據(ju)(ju)(ju)+自有采(cai)(cai)集(ji)數(shu)(shu)據(ju)(ju)(ju)”相(xiang)結(jie)合(he)的(de)(de)(de)(de)方式(shi)，公開(kai)數(shu)(shu)據(ju)(ju)(ju)使用(yong)(yong)(yong)COCO、Object 365等(deng)被行(xing)業認可的(de)(de)(de)(de)數(shu)(shu)據(ju)(ju)(ju)集(ji)的(de)(de)(de)(de)公開(kai)數(shu)(shu)據(ju)(ju)(ju)，保(bao)障了訓練樣本的(de)(de)(de)(de)有效(xiao)性；自有采(cai)(cai)集(ji)數(shu)(shu)據(ju)(ju)(ju)結(jie)合(he)實際(ji)(ji)的(de)(de)(de)(de)辦公場(chang)景及(ji)模(mo)擬的(de)(de)(de)(de)違(wei)規行(xing)為場(chang)景，以保(bao)障數(shu)(shu)據(ju)(ju)(ju)的(de)(de)(de)(de)適用(yong)(yong)(yong)性。在(zai)(zai)模(mo)型(xing)訓練方面(mian)，選取YOLO5n-v6的(de)(de)(de)(de)模(mo)型(xing)結(jie)構，采(cai)(cai)用(yong)(yong)(yong)“預訓練+微調(diao)”的(de)(de)(de)(de)方式(shi)，通過公開(kai)數(shu)(shu)據(ju)(ju)(ju)進(jin)行(xing)模(mo)型(xing)預訓練，將自有采(cai)(cai)集(ji)數(shu)(shu)據(ju)(ju)(ju)在(zai)(zai)預訓練的(de)(de)(de)(de)基(ji)礎上進(jin)行(xing)微調(diao)，在(zai)(zai)微調(diao)過程(cheng)中(zhong)不(bu)凍結(jie)任(ren)何學習層。基(ji)于(yu)YOLO5算法(fa)，系統(tong)構建了拍照(zhao)行(xing)為、伏案抄(chao)寫、人員離崗三(san)個(ge)異常行(xing)為識(shi)(shi)別(bie)(bie)模(mo)型(xing)并進(jin)行(xing)多輪模(mo)型(xing)調(diao)優，經實際(ji)(ji)應用(yong)(yong)(yong)檢測，三(san)個(ge)模(mo)型(xing)的(de)(de)(de)(de)識(shi)(shi)別(bie)(bie)準確率(lv)均在(zai)(zai)95%以上。

(2)智能終端違規識別模塊

智能終端(duan)違規識(shi)別(bie)(bie)(bie)模塊主要記(ji)錄并識(shi)別(bie)(bie)(bie)人員(yuan)在桌(zhuo)面終端(duan)的(de)異(yi)常(chang)行(xing)(xing)為(wei)(wei)，基于OCR技術(shu)將人員(yuan)桌(zhuo)面終端(duan)的(de)錄屏記(ji)錄轉化為(wei)(wei)文本(ben)內(nei)容進(jin)行(xing)(xing)存儲，同時(shi)記(ji)錄人員(yuan)的(de)鍵盤、鼠標等操(cao)作(zuo)(zuo)(zuo)行(xing)(xing)為(wei)(wei)日志。將錄屏數據(ju)以及操(cao)作(zuo)(zuo)(zuo)日志數據(ju)相結合，利用自然語言處(chu)理、機器學(xue)習、深度(du)學(xue)習技術(shu)，并結合浦發卡中(zhong)心實際應用需求，覆蓋敏(min)感(gan)數據(ju)訪(fang)問(wen)高危操(cao)作(zuo)(zuo)(zuo)及異(yi)常(chang)操(cao)作(zuo)(zuo)(zuo)兩類行(xing)(xing)為(wei)(wei)場景(jing)。在敏(min)感(gan)數據(ju)訪(fang)問(wen)方(fang)面，采用命名(ming)實體識(shi)別(bie)(bie)(bie)(NER)技術(shu)和(he)正則(ze)匹配法(fa)識(shi)別(bie)(bie)(bie)文本(ben)中(zhong)的(de)敏(min)感(gan)數據(ju)及敏(min)感(gan)數據(ju)類型;在異(yi)常(chang)操(cao)作(zuo)(zuo)(zuo)行(xing)(xing)為(wei)(wei)方(fang)面，采用核(he)密度(du)估計算法(fa)(KDE)識(shi)別(bie)(bie)(bie)操(cao)作(zuo)(zuo)(zuo)事件日志反映的(de)異(yi)常(chang)操(cao)作(zuo)(zuo)(zuo)行(xing)(xing)為(wei)(wei)和(he)高危操(cao)作(zuo)(zuo)(zuo)行(xing)(xing)為(wei)(wei)。終端(duan)違規識(shi)別(bie)(bie)(bie)邏(luo)輯如圖3所示。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智(zhi)(zhi)能(neng)聯合(he)(he)(he)檢測(ce)模(mo)塊基于智(zhi)(zhi)能(neng)行為(wei)檢測(ce)模(mo)塊與(yu)智(zhi)(zhi)能(neng)終(zhong)端(duan)違(wei)(wei)規(gui)識別模(mo)塊的(de)(de)識別過程(cheng)及結果(guo)數據(ju)進(jin)行聯動識別檢測(ce)，主要解決智(zhi)(zhi)能(neng)終(zhong)端(duan)違(wei)(wei)規(gui)識別模(mo)塊無法(fa)準確(que)認定違(wei)(wei)規(gui)事件(jian)等(deng)問題。智(zhi)(zhi)能(neng)聯合(he)(he)(he)檢測(ce)模(mo)型基于桌面(mian)終(zhong)端(duan)以(yi)及員工行為(wei)數據(ju)，采用時間序列預測(ce)模(mo)型，對員工異常違(wei)(wei)規(gui)行為(wei)進(jin)行識別與(yu)判定，主要識別的(de)(de)敏感(gan)數據(ju)泄(xie)露核心場景包括(kuo)“敏感(gan)數據(ju)訪問+高保(bao)密網站、高保(bao)密文檔”“拍照、伏(fu)案(an)抄寫+離(li)開未鎖(suo)屏”等(deng)。經實際驗證測(ce)試，智(zhi)(zhi)能(neng)聯合(he)(he)(he)檢測(ce)模(mo)塊識別的(de)(de)綜合(he)(he)(he)準確(que)率(lv)達95%以(yi)上。此外，智(zhi)(zhi)能(neng)聯合(he)(he)(he)檢測(ce)模(mo)塊建立了系(xi)統協同機制(zhi)與(yu)功能(neng)擴展機制(zhi)，未來(lai)可以(yi)快(kuai)速(su)地納入新的(de)(de)監(jian)測(ce)項目(mu)和監(jian)測(ce)場景，有助(zhu)于銀行對合(he)(he)(he)規(gui)要求(qiu)的(de)(de)即時響應。

(4)AI數據處理模塊

AI數(shu)據(ju)處(chu)理模塊的(de)數(shu)據(ju)處(chu)理速率可(ke)達(da)到每(mei)秒800張圖(tu)片，能夠同時支(zhi)持160臺終端進行數(shu)據(ju)采集、分析(xi)，即每(mei)個終端每(mei)秒可(ke)采集、分析(xi)5張圖(tu)像的(de)數(shu)據(ju)，且不會產生數(shu)據(ju)堆積的(de)風險(xian)，從而(er)增強了智能動作(zuo)行為(wei)識別審計系統整體的(de)處(chu)理速度和(he)準確(que)率。

(5)智能告警與取證模塊

智能告(gao)(gao)警(jing)(jing)與(yu)取(qu)證模(mo)塊(kuai)(kuai)(kuai)主(zhu)要用(yong)于(yu)實現(xian)違規(gui)(gui)(gui)(gui)事(shi)(shi)件(jian)(jian)阻斷(duan)(duan)、告(gao)(gao)警(jing)(jing)信息(xi)觸達(da)以及證據鏈留存與(yu)取(qu)證。該模(mo)塊(kuai)(kuai)(kuai)通過彈屏等方式對(dui)(dui)操作人(ren)員進(jin)行(xing)告(gao)(gao)警(jing)(jing)并(bing)(bing)阻斷(duan)(duan)其(qi)違規(gui)(gui)(gui)(gui)行(xing)為，基于(yu)違規(gui)(gui)(gui)(gui)告(gao)(gao)警(jing)(jing)事(shi)(shi)件(jian)(jian)歸集、整理相(xiang)(xiang)關(guan)(guan)證據鏈并(bing)(bing)進(jin)行(xing)留存，且支持(chi)后(hou)(hou)續一鍵調閱。智能告(gao)(gao)警(jing)(jing)與(yu)取(qu)證模(mo)塊(kuai)(kuai)(kuai)下(xia)的告(gao)(gao)警(jing)(jing)信息(xi)觸達(da)功能模(mo)塊(kuai)(kuai)(kuai)將在違規(gui)(gui)(gui)(gui)事(shi)(shi)件(jian)(jian)被(bei)識(shi)別后(hou)(hou)的第一時(shi)間將相(xiang)(xiang)關(guan)(guan)信息(xi)發送給相(xiang)(xiang)關(guan)(guan)負責人(ren)，便于(yu)其(qi)對(dui)(dui)違規(gui)(gui)(gui)(gui)事(shi)(shi)件(jian)(jian)進(jin)行(xing)及時(shi)處理。

智能動作行(xing)為(wei)識別審計系(xi)統(tong)(tong)可迅速識別潛在(zai)的(de)敏感數(shu)據訪問(wen)或信息(xi)泄露行(xing)為(wei)，增強了銀行(xing)在(zai)人(ren)員違(wei)規行(xing)為(wei)方面的(de)防護(hu)能力。一旦(dan)系(xi)統(tong)(tong)檢測(ce)到異(yi)常行(xing)為(wei)，會立即發出(chu)告警并采取必要措施，以屏幕錄(lu)像和(he)人(ren)員錄(lu)像的(de)形式記(ji)錄(lu)和(he)定位(wei)違(wei)規操(cao)作，以便銀行(xing)進行(xing)后續的(de)調查和(he)取證。

智能(neng)動作(zuo)行(xing)為識別審計(ji)系統為浦發卡中心提供了(le)便(bian)捷的(de)(de)人員監控工具，并可根據(ju)監測需要(yao)對系統進行(xing)功能(neng)拓(tuo)展，以適應不斷(duan)變化(hua)的(de)(de)監管環境，使(shi)浦發卡中心能(neng)夠快(kuai)速(su)響應合規要(yao)求，提升信息安全審計(ji)工作(zuo)的(de)(de)智能(neng)化(hua)和(he)便(bian)捷性，減少傳統管理模式中人工執行(xing)的(de)(de)工作(zuo)量。

智能動作行為識(shi)別審計系統(tong)將(jiang)YOLO5算法等成熟(shu)的(de)先進技術應用在內(nei)控(kong)管(guan)理領域，不僅降低(di)了數(shu)據泄露(lu)的(de)風險(xian)，而且(qie)有效提升了銀行的(de)信息安全(quan)防護水平(ping)和內(nei)部威脅防范能力。