隨著(zhu)業(ye)務數(shu)字化變革(ge)的(de)加速，銀行(xing)業(ye)面臨的(de)內(nei)(nei)外部(bu)信(xin)(xin)(xin)息(xi)(xi)安(an)全挑戰愈發嚴峻(jun)，其中內(nei)(nei)部(bu)挑戰主要源于(yu)(yu)銀行(xing)內(nei)(nei)控和各項管(guan)理要求(qiu)的(de)日益嚴格，尤其是近(jin)年來相關部(bu)門對(dui)于(yu)(yu)個(ge)人信(xin)(xin)(xin)息(xi)(xi)安(an)全保護要求(qiu)的(de)不(bu)斷升級。相對(dui)而言(yan)，銀行(xing)對(dui)于(yu)(yu)內(nei)(nei)部(bu)人員(yuan)違(wei)(wei)規(gui)行(xing)為(wei)(wei)的(de)防范(fan)意識較為(wei)(wei)薄弱(ruo)，對(dui)于(yu)(yu)拍(pai)照和抄寫內(nei)(nei)部(bu)信(xin)(xin)(xin)息(xi)(xi)等(deng)違(wei)(wei)規(gui)行(xing)為(wei)(wei)缺(que)少有效的(de)技術管(guan)理手段。雖然一(yi)些監控審(shen)計(ji)類(lei)的(de)產品可用于(yu)(yu)智能(neng)監測員(yuan)工行(xing)為(wei)(wei)，但欠缺(que)對(dui)系統內(nei)(nei)部(bu)數(shu)據的(de)審(shen)計(ji)能(neng)力(li)，以及對(dui)于(yu)(yu)員(yuan)工行(xing)為(wei)(wei)與系統操(cao)作的(de)關聯分析，導致無(wu)法形成完整(zheng)的(de)證據鏈。因此，如何同步采集人員(yuan)行(xing)為(wei)(wei)和終(zhong)端的(de)操(cao)作行(xing)為(wei)(wei)，并將這兩種(zhong)行(xing)為(wei)(wei)進(jin)行(xing)有效結合以快速阻斷違(wei)(wei)規(gui)行(xing)為(wei)(wei)信(xin)(xin)(xin)息(xi)(xi)，是業(ye)界亟待解決的(de)問題(ti)。

近期，上海浦(pu)東發展銀行(xing)(xing)信(xin)(xin)用卡中(zhong)心(以下簡稱“浦(pu)發卡中(zhong)心”)采(cai)用人(ren)(ren)工(gong)智(zhi)能(neng)和(he)(he)計算(suan)機視覺技(ji)術研發了(le)(le)智(zhi)能(neng)動(dong)作(zuo)(zuo)行(xing)(xing)為(wei)識別(bie)審(shen)計系(xi)統，實現了(le)(le)監控(kong)和(he)(he)分析(xi)人(ren)(ren)員行(xing)(xing)為(wei)以及(ji)終端敏(min)感操(cao)作(zuo)(zuo)的(de)(de)聯合(he)審(shen)計。這一系(xi)統整合(he)了(le)(le)多(duo)模態數(shu)據(ju)檢索技(ji)術，能(neng)夠捕獲員工(gong)在工(gong)作(zuo)(zuo)過(guo)程中(zhong)的(de)(de)異常行(xing)(xing)為(wei)，對(dui)員工(gong)可能(neng)訪問或處(chu)理(li)的(de)(de)敏(min)感數(shu)據(ju)也同(tong)步進(jin)行(xing)(xing)內(nei)容識別(bie)監測。該系(xi)統適(shi)用于(yu)根據(ju)監管要求(qiu)和(he)(he)行(xing)(xing)內(nei)制度需要對(dui)PC終端行(xing)(xing)為(wei)和(he)(he)辦公人(ren)(ren)員動(dong)作(zuo)(zuo)行(xing)(xing)為(wei)進(jin)行(xing)(xing)整體監控(kong)的(de)(de)高安全(quan)級別(bie)工(gong)作(zuo)(zuo)場景，如容易造成企(qi)業信(xin)(xin)息(xi)或其他重要信(xin)(xin)息(xi)泄(xie)露(lu)的(de)(de)業務(wu)環境。尤其在《中(zhong)華人(ren)(ren)民共(gong)和(he)(he)國個人(ren)(ren)信(xin)(xin)息(xi)保護法》頒布后(hou)，相關部(bu)門對(dui)于(yu)數(shu)據(ju)使用環節的(de)(de)要求(qiu)更(geng)加(jia)嚴(yan)格，銀行(xing)(xing)在數(shu)據(ju)操(cao)作(zuo)(zuo)和(he)(he)系(xi)統維護等關鍵領域(yu)的(de)(de)安全(quan)要求(qiu)更(geng)高。

智能(neng)動作(zuo)(zuo)行(xing)為(wei)識別(bie)審(shen)計(ji)系統(tong)采用(yong)(yong)SpringBoot、Kafka、Redis等主流技術(shu)，以(yi)確保(bao)高(gao)(gao)(gao)性(xing)能(neng)和高(gao)(gao)(gao)并(bing)發(fa)處(chu)理。其中(zhong)SpringBoot應用(yong)(yong)于Web后端搭建，為(wei)用(yong)(yong)戶提(ti)(ti)供Java后端基礎功能(neng)的(de)接口(kou)服務，提(ti)(ti)高(gao)(gao)(gao)程(cheng)序(xu)的(de)開發(fa)效率;Kafka作(zuo)(zuo)為(wei)消(xiao)息(xi)中(zhong)間件，負責(ze)日志、告警(jing)等消(xiao)息(xi)的(de)轉發(fa)，通(tong)過(guo)消(xiao)息(xi)隊列、消(xiao)息(xi)確認機(ji)制(zhi)，保(bao)障高(gao)(gao)(gao)并(bing)發(fa)場景下海量日志、告警(jing)消(xiao)息(xi)的(de)高(gao)(gao)(gao)速轉發(fa)及數(shu)據的(de)完整(zheng)性(xing);Redis作(zuo)(zuo)為(wei)緩(huan)存(cun)數(shu)據庫，主要負責(ze)對平(ping)臺用(yong)(yong)戶登錄信(xin)息(xi)、告警(jing)、圖片(pian)等數(shu)據進行(xing)緩(huan)存(cun)，通(tong)過(guo)Redis的(de)內存(cun)緩(huan)存(cun)機(ji)制(zhi)，可提(ti)(ti)高(gao)(gao)(gao)告警(jing)、圖片(pian)等數(shu)據在(zai)接口(kou)調用(yong)(yong)時的(de)讀寫速度，縮短(duan)單個接口(kou)的(de)調用(yong)(yong)時長，提(ti)(ti)升(sheng)高(gao)(gao)(gao)并(bing)發(fa)的(de)性(xing)能(neng)。智能(neng)動作(zuo)(zuo)行(xing)為(wei)識別(bie)審(shen)計(ji)系統(tong)技術(shu)架(jia)構如圖1所(suo)示(shi)。

圖1 智能動作行為識別審計系統技術架構

智(zhi)能動(dong)作行為(wei)識(shi)(shi)別(bie)審計(ji)系統(tong)應(ying)用平臺(tai)由(you)客戶端(duan)(duan)和后(hou)(hou)(hou)端(duan)(duan)服(fu)務(wu)(wu)組成(cheng)，其中(zhong)客戶端(duan)(duan)安裝在(zai)前(qian)端(duan)(duan)的(de)(de)終端(duan)(duan)側(ce)，根據(ju)后(hou)(hou)(hou)臺(tai)配(pei)置策(ce)略操控終端(duan)(duan)上安裝的(de)(de)攝(she)像頭(tou)硬件;后(hou)(hou)(hou)端(duan)(duan)服(fu)務(wu)(wu)由(you)管理服(fu)務(wu)(wu)器、AI服(fu)務(wu)(wu)器和流(liu)媒(mei)體服(fu)務(wu)(wu)器組成(cheng)。客戶端(duan)(duan)負責(ze)人員行為(wei)視(shi)頻數(shu)(shu)據(ju)、終端(duan)(duan)錄屏數(shu)(shu)據(ju)以(yi)及文本日志數(shu)(shu)據(ju)的(de)(de)采集與發送(song);后(hou)(hou)(hou)端(duan)(duan)服(fu)務(wu)(wu)中(zhong)的(de)(de)流(liu)媒(mei)體服(fu)務(wu)(wu)器負責(ze)客戶端(duan)(duan)多種數(shu)(shu)據(ju)的(de)(de)接收，AI服(fu)務(wu)(wu)器針對視(shi)頻數(shu)(shu)據(ju)進行智(zhi)能識(shi)(shi)別(bie)，管理服(fu)務(wu)(wu)器對策(ce)略配(pei)置、監控數(shu)(shu)據(ju)、智(zhi)能識(shi)(shi)別(bie)數(shu)(shu)據(ju)進行檢索與查看。智(zhi)能動(dong)作行為(wei)識(shi)(shi)別(bie)審計(ji)系統(tong)應(ying)用架構(gou)如(ru)圖2所(suo)示(shi)。

圖2 智能動作行為識別審計系統應用架構

智(zhi)能(neng)動作(zuo)行(xing)為(wei)(wei)(wei)(wei)(wei)識別審(shen)計系統(tong)主要采(cai)集終(zhong)(zhong)端(duan)的桌面(mian)視(shi)頻、攝像頭(tou)視(shi)頻、終(zhong)(zhong)端(duan)行(xing)為(wei)(wei)(wei)(wei)(wei)文本日志(鼠標點擊、鍵盤、應用進程等，根據錄屏策略控制(zhi)采(cai)集范圍)。以終(zhong)(zhong)端(duan)為(wei)(wei)(wei)(wei)(wei)Intel Xeon Gold 5218處理(li)器、主頻率(lv)為(wei)(wei)(wei)(wei)(wei)2.30GHz，內存為(wei)(wei)(wei)(wei)(wei)32G，操作(zuo)系統(tong)為(wei)(wei)(wei)(wei)(wei)Windows Server 2016為(wei)(wei)(wei)(wei)(wei)例，在對終(zhong)(zhong)端(duan)性能(neng)進行(xing)平衡考量時(shi)，在滿足動作(zuo)識別要求的前提下，調整錄屏畫質(zhi)為(wei)(wei)(wei)(wei)(wei)“低”，錄像攝像頭(tou)分(fen)辨率(lv)為(wei)(wei)(wei)(wei)(wei)640×480ppi，幀率(lv)為(wei)(wei)(wei)(wei)(wei)15fps，此時(shi)CPU占用約14%，內存占用約1%。在對數據傳輸進行(xing)考量時(shi)，將終(zhong)(zhong)端(duan)錄像分(fen)辨率(lv)調整為(wei)(wei)(wei)(wei)(wei)480ppi、錄屏分(fen)辨率(lv)調整為(wei)(wei)(wei)(wei)(wei)1080ppi，行(xing)為(wei)(wei)(wei)(wei)(wei)日志傳輸速率(lv)按照1條/秒，網絡帶寬總計需要約2Mbps。

智(zhi)能(neng)動(dong)作行為識(shi)別審計系統(tong)應(ying)用組成模(mo)塊(kuai)包括智(zhi)能(neng)行為檢測模(mo)塊(kuai)、智(zhi)能(neng)終端(duan)違規識(shi)別模(mo)塊(kuai)、智(zhi)能(neng)聯(lian)合(he)檢測模(mo)塊(kuai)、數據處(chu)理模(mo)塊(kuai)、智(zhi)能(neng)告警與取證模(mo)塊(kuai)等五個(ge)模(mo)塊(kuai)，每個(ge)模(mo)塊(kuai)具(ju)有不同的功(gong)能(neng)并相(xiang)互關聯(lian)、協同處(chu)置。

(1)智能行為檢測模塊

智能行為(wei)檢測模塊主(zhu)要用于快速、準(zhun)確識別錄像、影像中辦公人員的異常行為(wei)，如拍照、伏案抄寫、人員離崗等(deng)。

智能動(dong)作行(xing)(xing)(xing)為識(shi)(shi)別審計系(xi)統采(cai)用計算(suan)耗時短、識(shi)(shi)別精度高以及(ji)便于(yu)平(ping)臺部署(shu)的(de)(de)YOLO5算(suan)法。在訓(xun)(xun)練(lian)數(shu)(shu)據集方面(mian)，采(cai)用“公(gong)(gong)(gong)開(kai)數(shu)(shu)據+自有(you)采(cai)集數(shu)(shu)據”相結合的(de)(de)方式，公(gong)(gong)(gong)開(kai)數(shu)(shu)據使用COCO、Object 365等被行(xing)(xing)(xing)業認可的(de)(de)數(shu)(shu)據集的(de)(de)公(gong)(gong)(gong)開(kai)數(shu)(shu)據，保障(zhang)了(le)訓(xun)(xun)練(lian)樣本的(de)(de)有(you)效性(xing)；自有(you)采(cai)集數(shu)(shu)據結合實(shi)(shi)際的(de)(de)辦公(gong)(gong)(gong)場景及(ji)模(mo)(mo)擬(ni)的(de)(de)違規行(xing)(xing)(xing)為場景，以保障(zhang)數(shu)(shu)據的(de)(de)適用性(xing)。在模(mo)(mo)型(xing)訓(xun)(xun)練(lian)方面(mian)，選取YOLO5n-v6的(de)(de)模(mo)(mo)型(xing)結構，采(cai)用“預(yu)訓(xun)(xun)練(lian)+微調(diao)”的(de)(de)方式，通過(guo)公(gong)(gong)(gong)開(kai)數(shu)(shu)據進行(xing)(xing)(xing)模(mo)(mo)型(xing)預(yu)訓(xun)(xun)練(lian)，將自有(you)采(cai)集數(shu)(shu)據在預(yu)訓(xun)(xun)練(lian)的(de)(de)基礎上進行(xing)(xing)(xing)微調(diao)，在微調(diao)過(guo)程中不凍結任何學習(xi)層(ceng)。基于(yu)YOLO5算(suan)法，系(xi)統構建(jian)了(le)拍(pai)照行(xing)(xing)(xing)為、伏案抄(chao)寫、人員離崗三個異常行(xing)(xing)(xing)為識(shi)(shi)別模(mo)(mo)型(xing)并進行(xing)(xing)(xing)多輪模(mo)(mo)型(xing)調(diao)優，經實(shi)(shi)際應用檢測(ce)，三個模(mo)(mo)型(xing)的(de)(de)識(shi)(shi)別準確率均在95%以上。

(2)智能終端違規識別模塊

智能終(zhong)(zhong)端違(wei)規(gui)識(shi)(shi)別模塊主要記(ji)(ji)錄(lu)并識(shi)(shi)別人(ren)(ren)員在桌面終(zhong)(zhong)端的(de)異(yi)(yi)常(chang)(chang)行(xing)為(wei)，基于OCR技(ji)術將(jiang)(jiang)人(ren)(ren)員桌面終(zhong)(zhong)端的(de)錄(lu)屏記(ji)(ji)錄(lu)轉化(hua)為(wei)文本內容進行(xing)存儲，同時記(ji)(ji)錄(lu)人(ren)(ren)員的(de)鍵盤(pan)、鼠標等操(cao)(cao)作行(xing)為(wei)日志。將(jiang)(jiang)錄(lu)屏數據以及操(cao)(cao)作日志數據相結(jie)合，利用(yong)自然語言處理、機(ji)器(qi)學(xue)習(xi)、深度學(xue)習(xi)技(ji)術，并結(jie)合浦發卡中心實際(ji)應用(yong)需求，覆蓋(gai)敏感數據訪(fang)問高(gao)危操(cao)(cao)作及異(yi)(yi)常(chang)(chang)操(cao)(cao)作兩類行(xing)為(wei)場景。在敏感數據訪(fang)問方面，采用(yong)命名(ming)實體識(shi)(shi)別(NER)技(ji)術和(he)正則匹配法(fa)識(shi)(shi)別文本中的(de)敏感數據及敏感數據類型;在異(yi)(yi)常(chang)(chang)操(cao)(cao)作行(xing)為(wei)方面，采用(yong)核(he)密度估計算法(fa)(KDE)識(shi)(shi)別操(cao)(cao)作事件日志反(fan)映的(de)異(yi)(yi)常(chang)(chang)操(cao)(cao)作行(xing)為(wei)和(he)高(gao)危操(cao)(cao)作行(xing)為(wei)。終(zhong)(zhong)端違(wei)規(gui)識(shi)(shi)別邏輯如圖3所示。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智(zhi)(zhi)能(neng)(neng)聯合(he)檢(jian)(jian)測(ce)(ce)模(mo)(mo)塊基(ji)于智(zhi)(zhi)能(neng)(neng)行(xing)為檢(jian)(jian)測(ce)(ce)模(mo)(mo)塊與(yu)(yu)智(zhi)(zhi)能(neng)(neng)終端違(wei)(wei)規識(shi)別(bie)模(mo)(mo)塊的(de)識(shi)別(bie)過程及結果數據(ju)(ju)進(jin)行(xing)聯動(dong)識(shi)別(bie)檢(jian)(jian)測(ce)(ce)，主要解決智(zhi)(zhi)能(neng)(neng)終端違(wei)(wei)規識(shi)別(bie)模(mo)(mo)塊無(wu)法準確認定違(wei)(wei)規事件(jian)等問題。智(zhi)(zhi)能(neng)(neng)聯合(he)檢(jian)(jian)測(ce)(ce)模(mo)(mo)型基(ji)于桌面終端以(yi)及員(yuan)工行(xing)為數據(ju)(ju)，采用時間序列(lie)預(yu)測(ce)(ce)模(mo)(mo)型，對員(yuan)工異(yi)常違(wei)(wei)規行(xing)為進(jin)行(xing)識(shi)別(bie)與(yu)(yu)判(pan)定，主要識(shi)別(bie)的(de)敏感數據(ju)(ju)泄露核(he)心(xin)場景包括“敏感數據(ju)(ju)訪(fang)問+高保(bao)密網(wang)站、高保(bao)密文檔”“拍照(zhao)、伏案抄(chao)寫+離(li)開未鎖屏(ping)”等。經實(shi)際驗證測(ce)(ce)試，智(zhi)(zhi)能(neng)(neng)聯合(he)檢(jian)(jian)測(ce)(ce)模(mo)(mo)塊識(shi)別(bie)的(de)綜合(he)準確率達95%以(yi)上。此外，智(zhi)(zhi)能(neng)(neng)聯合(he)檢(jian)(jian)測(ce)(ce)模(mo)(mo)塊建立了系統協同機制與(yu)(yu)功能(neng)(neng)擴展機制，未來可以(yi)快速(su)地(di)納入新的(de)監測(ce)(ce)項目(mu)和監測(ce)(ce)場景，有(you)助于銀(yin)行(xing)對合(he)規要求的(de)即(ji)時響應(ying)。

(4)AI數據處理模塊

AI數(shu)(shu)據處(chu)理(li)模(mo)塊的(de)數(shu)(shu)據處(chu)理(li)速率可(ke)達到(dao)每(mei)秒800張圖片(pian)，能夠同時支持160臺終(zhong)端進行數(shu)(shu)據采集、分析(xi)，即每(mei)個終(zhong)端每(mei)秒可(ke)采集、分析(xi)5張圖像(xiang)的(de)數(shu)(shu)據，且不會(hui)產生(sheng)數(shu)(shu)據堆積的(de)風險，從而增強了智能動作行為識(shi)別審計系統整體的(de)處(chu)理(li)速度和準(zhun)確率。

(5)智能告警與取證模塊

智能(neng)告(gao)(gao)警(jing)與(yu)取(qu)證(zheng)(zheng)模(mo)塊(kuai)(kuai)主(zhu)要用于實現違規(gui)(gui)事件(jian)阻斷、告(gao)(gao)警(jing)信息觸(chu)達以及證(zheng)(zheng)據鏈留(liu)存與(yu)取(qu)證(zheng)(zheng)。該模(mo)塊(kuai)(kuai)通過(guo)彈(dan)屏等方式對(dui)操作人員進行(xing)(xing)告(gao)(gao)警(jing)并阻斷其違規(gui)(gui)行(xing)(xing)為，基(ji)于違規(gui)(gui)告(gao)(gao)警(jing)事件(jian)歸集、整理相關證(zheng)(zheng)據鏈并進行(xing)(xing)留(liu)存，且支持后(hou)續一鍵調(diao)閱(yue)。智能(neng)告(gao)(gao)警(jing)與(yu)取(qu)證(zheng)(zheng)模(mo)塊(kuai)(kuai)下的告(gao)(gao)警(jing)信息觸(chu)達功(gong)能(neng)模(mo)塊(kuai)(kuai)將在違規(gui)(gui)事件(jian)被識別(bie)后(hou)的第一時(shi)間將相關信息發(fa)送給相關負責人，便于其對(dui)違規(gui)(gui)事件(jian)進行(xing)(xing)及時(shi)處理。

智(zhi)能動作行(xing)(xing)為識別審計系(xi)統(tong)可(ke)迅速(su)識別潛在的(de)(de)(de)敏(min)感數據訪問或信息泄露行(xing)(xing)為，增強(qiang)了(le)銀行(xing)(xing)在人員違規(gui)行(xing)(xing)為方面的(de)(de)(de)防護能力。一旦系(xi)統(tong)檢測到異(yi)常行(xing)(xing)為，會立即發(fa)出(chu)告警并(bing)采取(qu)必要措施，以(yi)屏幕錄(lu)像(xiang)和人員錄(lu)像(xiang)的(de)(de)(de)形式記(ji)錄(lu)和定位違規(gui)操作，以(yi)便銀行(xing)(xing)進行(xing)(xing)后續的(de)(de)(de)調查和取(qu)證。

智能動作(zuo)行(xing)為(wei)識別審計系統(tong)為(wei)浦(pu)(pu)發卡中(zhong)(zhong)心(xin)提供了便(bian)捷的人員監(jian)控工具，并(bing)可根(gen)據監(jian)測需要對系統(tong)進(jin)行(xing)功(gong)能拓(tuo)展(zhan)，以適(shi)應不斷變化的監(jian)管環(huan)境，使浦(pu)(pu)發卡中(zhong)(zhong)心(xin)能夠快速響應合規要求，提升信息安全審計工作(zuo)的智能化和(he)便(bian)捷性，減少傳統(tong)管理模式中(zhong)(zhong)人工執行(xing)的工作(zuo)量。

智能動(dong)作(zuo)行為識別審(shen)計系統將YOLO5算法等成(cheng)熟的先進技(ji)術應用(yong)在(zai)內(nei)(nei)控管理(li)領域，不(bu)僅降低了數(shu)據泄露的風險，而且有效提升了銀(yin)行的信息安全防(fang)護(hu)水平和內(nei)(nei)部威脅防(fang)范(fan)能力(li)。