隨著業務數(shu)字(zi)化變(bian)革的(de)加速，銀行(xing)(xing)(xing)業面(mian)臨(lin)的(de)內(nei)(nei)(nei)外部(bu)信(xin)息(xi)安全(quan)挑(tiao)戰(zhan)(zhan)愈發嚴峻，其中內(nei)(nei)(nei)部(bu)挑(tiao)戰(zhan)(zhan)主要源于(yu)銀行(xing)(xing)(xing)內(nei)(nei)(nei)控和各項管理要求的(de)日(ri)益嚴格，尤其是(shi)近(jin)年來相關部(bu)門對于(yu)個人信(xin)息(xi)安全(quan)保護(hu)要求的(de)不斷升級。相對而言(yan)，銀行(xing)(xing)(xing)對于(yu)內(nei)(nei)(nei)部(bu)人員(yuan)違(wei)規行(xing)(xing)(xing)為(wei)(wei)(wei)的(de)防范意識較為(wei)(wei)(wei)薄弱，對于(yu)拍(pai)照和抄(chao)寫內(nei)(nei)(nei)部(bu)信(xin)息(xi)等違(wei)規行(xing)(xing)(xing)為(wei)(wei)(wei)缺少有效(xiao)的(de)技術(shu)管理手段。雖然(ran)一(yi)些監控審(shen)(shen)計類的(de)產品可用于(yu)智能(neng)監測員(yuan)工行(xing)(xing)(xing)為(wei)(wei)(wei)，但欠缺對系(xi)(xi)統內(nei)(nei)(nei)部(bu)數(shu)據(ju)(ju)的(de)審(shen)(shen)計能(neng)力(li)，以及對于(yu)員(yuan)工行(xing)(xing)(xing)為(wei)(wei)(wei)與系(xi)(xi)統操作的(de)關聯分析，導(dao)致無法形成(cheng)完(wan)整的(de)證據(ju)(ju)鏈(lian)。因此(ci)，如何同步采集人員(yuan)行(xing)(xing)(xing)為(wei)(wei)(wei)和終端(duan)的(de)操作行(xing)(xing)(xing)為(wei)(wei)(wei)，并將這兩種行(xing)(xing)(xing)為(wei)(wei)(wei)進(jin)行(xing)(xing)(xing)有效(xiao)結合以快(kuai)速阻斷違(wei)規行(xing)(xing)(xing)為(wei)(wei)(wei)信(xin)息(xi)，是(shi)業界亟待(dai)解(jie)決的(de)問題。

近期(qi)，上(shang)海浦(pu)東(dong)發展銀行(xing)(xing)信用卡中心(以下簡(jian)稱“浦(pu)發卡中心”)采用人工(gong)智能(neng)和計(ji)算(suan)機視覺(jue)技術研發了(le)智能(neng)動(dong)作(zuo)(zuo)行(xing)(xing)為(wei)識別(bie)審計(ji)系統(tong)，實現(xian)了(le)監控和分析(xi)人員行(xing)(xing)為(wei)以及終(zhong)端敏感操作(zuo)(zuo)的聯(lian)合審計(ji)。這一系統(tong)整(zheng)(zheng)合了(le)多模(mo)態數據檢索技術，能(neng)夠(gou)捕(bu)獲員工(gong)在(zai)工(gong)作(zuo)(zuo)過程中的異常(chang)行(xing)(xing)為(wei)，對(dui)員工(gong)可能(neng)訪問或處(chu)理的敏感數據也同(tong)步(bu)進(jin)行(xing)(xing)內容(rong)識別(bie)監測。該系統(tong)適用于根(gen)據監管要(yao)求和行(xing)(xing)內制度需要(yao)對(dui)PC終(zhong)端行(xing)(xing)為(wei)和辦公(gong)人員動(dong)作(zuo)(zuo)行(xing)(xing)為(wei)進(jin)行(xing)(xing)整(zheng)(zheng)體監控的高安(an)全級別(bie)工(gong)作(zuo)(zuo)場景，如容(rong)易造成企業(ye)信息(xi)(xi)或其(qi)他重要(yao)信息(xi)(xi)泄露(lu)的業(ye)務環境(jing)。尤(you)其(qi)在(zai)《中華(hua)人民共和國個人信息(xi)(xi)保護(hu)法》頒布(bu)后，相關(guan)部(bu)門對(dui)于數據使用環節的要(yao)求更(geng)加嚴(yan)格(ge)，銀行(xing)(xing)在(zai)數據操作(zuo)(zuo)和系統(tong)維護(hu)等關(guan)鍵(jian)領域(yu)的安(an)全要(yao)求更(geng)高。

智能(neng)(neng)動作(zuo)行為識別審計(ji)系統(tong)采用SpringBoot、Kafka、Redis等(deng)主流技(ji)術，以(yi)確(que)保(bao)高(gao)(gao)性能(neng)(neng)和高(gao)(gao)并發處理。其中(zhong)SpringBoot應用于Web后端(duan)搭(da)建(jian)，為用戶提(ti)供Java后端(duan)基礎功能(neng)(neng)的(de)(de)接口(kou)服務，提(ti)高(gao)(gao)程序的(de)(de)開發效率(lv);Kafka作(zuo)為消息(xi)(xi)(xi)中(zhong)間(jian)件，負(fu)(fu)責日(ri)志、告(gao)警等(deng)消息(xi)(xi)(xi)的(de)(de)轉發，通過(guo)消息(xi)(xi)(xi)隊列、消息(xi)(xi)(xi)確(que)認機制，保(bao)障高(gao)(gao)并發場景下海量日(ri)志、告(gao)警消息(xi)(xi)(xi)的(de)(de)高(gao)(gao)速(su)轉發及數據的(de)(de)完整性;Redis作(zuo)為緩(huan)存(cun)數據庫，主要負(fu)(fu)責對平臺(tai)用戶登錄信息(xi)(xi)(xi)、告(gao)警、圖片(pian)等(deng)數據進行緩(huan)存(cun)，通過(guo)Redis的(de)(de)內存(cun)緩(huan)存(cun)機制，可提(ti)高(gao)(gao)告(gao)警、圖片(pian)等(deng)數據在接口(kou)調用時的(de)(de)讀寫速(su)度，縮短單個接口(kou)的(de)(de)調用時長(chang)，提(ti)升高(gao)(gao)并發的(de)(de)性能(neng)(neng)。智能(neng)(neng)動作(zuo)行為識別審計(ji)系統(tong)技(ji)術架構如(ru)圖1所示。

圖1 智能動作行為識別審計系統技術架構

智能動作(zuo)行(xing)為識(shi)別審計(ji)系(xi)統(tong)應用平臺由客(ke)(ke)(ke)戶端(duan)(duan)(duan)和(he)后(hou)端(duan)(duan)(duan)服(fu)(fu)(fu)務(wu)組成(cheng)，其中(zhong)客(ke)(ke)(ke)戶端(duan)(duan)(duan)安(an)裝(zhuang)在(zai)前(qian)端(duan)(duan)(duan)的(de)(de)(de)終(zhong)端(duan)(duan)(duan)側(ce)，根據(ju)后(hou)臺配置(zhi)策略(lve)操控終(zhong)端(duan)(duan)(duan)上(shang)安(an)裝(zhuang)的(de)(de)(de)攝(she)像(xiang)頭硬件(jian);后(hou)端(duan)(duan)(duan)服(fu)(fu)(fu)務(wu)由管理服(fu)(fu)(fu)務(wu)器、AI服(fu)(fu)(fu)務(wu)器和(he)流(liu)媒體服(fu)(fu)(fu)務(wu)器組成(cheng)。客(ke)(ke)(ke)戶端(duan)(duan)(duan)負責人員行(xing)為視頻數(shu)(shu)據(ju)、終(zhong)端(duan)(duan)(duan)錄屏數(shu)(shu)據(ju)以及文(wen)本(ben)日志數(shu)(shu)據(ju)的(de)(de)(de)采(cai)集與發送;后(hou)端(duan)(duan)(duan)服(fu)(fu)(fu)務(wu)中(zhong)的(de)(de)(de)流(liu)媒體服(fu)(fu)(fu)務(wu)器負責客(ke)(ke)(ke)戶端(duan)(duan)(duan)多種數(shu)(shu)據(ju)的(de)(de)(de)接收，AI服(fu)(fu)(fu)務(wu)器針對視頻數(shu)(shu)據(ju)進行(xing)智能識(shi)別，管理服(fu)(fu)(fu)務(wu)器對策略(lve)配置(zhi)、監(jian)控數(shu)(shu)據(ju)、智能識(shi)別數(shu)(shu)據(ju)進行(xing)檢索與查看。智能動作(zuo)行(xing)為識(shi)別審計(ji)系(xi)統(tong)應用架構(gou)如圖2所示。

圖2 智能動作行為識別審計系統應用架構

智能動作(zuo)行(xing)為(wei)(wei)識別(bie)審計系統主要采集(ji)終(zhong)(zhong)(zhong)端的桌面視頻、攝(she)像(xiang)頭視頻、終(zhong)(zhong)(zhong)端行(xing)為(wei)(wei)文本日志(鼠標點(dian)擊、鍵盤、應用進程等，根據(ju)錄(lu)屏(ping)策(ce)略(lve)控制(zhi)采集(ji)范圍)。以終(zhong)(zhong)(zhong)端為(wei)(wei)Intel Xeon Gold 5218處理器、主頻率(lv)為(wei)(wei)2.30GHz，內存為(wei)(wei)32G，操作(zuo)系統為(wei)(wei)Windows Server 2016為(wei)(wei)例，在對終(zhong)(zhong)(zhong)端性(xing)能進行(xing)平衡考量時，在滿足動作(zuo)識別(bie)要求的前提下，調整錄(lu)屏(ping)畫質為(wei)(wei)“低”，錄(lu)像(xiang)攝(she)像(xiang)頭分辨率(lv)為(wei)(wei)640×480ppi，幀率(lv)為(wei)(wei)15fps，此時CPU占(zhan)用約(yue)14%，內存占(zhan)用約(yue)1%。在對數據(ju)傳(chuan)輸(shu)進行(xing)考量時，將終(zhong)(zhong)(zhong)端錄(lu)像(xiang)分辨率(lv)調整為(wei)(wei)480ppi、錄(lu)屏(ping)分辨率(lv)調整為(wei)(wei)1080ppi，行(xing)為(wei)(wei)日志傳(chuan)輸(shu)速(su)率(lv)按(an)照(zhao)1條/秒，網絡帶寬總計需要約(yue)2Mbps。

智能動作行為識別審計系統應用組成模(mo)(mo)(mo)(mo)塊(kuai)包括智能行為檢(jian)測模(mo)(mo)(mo)(mo)塊(kuai)、智能終端違(wei)規識別模(mo)(mo)(mo)(mo)塊(kuai)、智能聯(lian)合檢(jian)測模(mo)(mo)(mo)(mo)塊(kuai)、數據(ju)處理(li)模(mo)(mo)(mo)(mo)塊(kuai)、智能告警與(yu)取證模(mo)(mo)(mo)(mo)塊(kuai)等五個模(mo)(mo)(mo)(mo)塊(kuai)，每個模(mo)(mo)(mo)(mo)塊(kuai)具有不同的功能并(bing)相互關聯(lian)、協(xie)同處置。

(1)智能行為檢測模塊

智能(neng)行(xing)(xing)為檢(jian)測模塊(kuai)主要用于快速(su)、準確識(shi)別錄像、影(ying)像中辦公人(ren)員(yuan)的(de)異常(chang)行(xing)(xing)為，如拍照、伏案抄寫、人(ren)員(yuan)離崗等。

智能動作行(xing)為(wei)識別審(shen)計(ji)系統采用(yong)(yong)計(ji)算(suan)耗時短、識別精度高以及(ji)便于平臺部署的(de)(de)YOLO5算(suan)法(fa)。在訓練(lian)數(shu)(shu)據(ju)(ju)(ju)集方面，采用(yong)(yong)“公(gong)開數(shu)(shu)據(ju)(ju)(ju)+自有(you)采集數(shu)(shu)據(ju)(ju)(ju)”相(xiang)結(jie)合的(de)(de)方式，公(gong)開數(shu)(shu)據(ju)(ju)(ju)使用(yong)(yong)COCO、Object 365等(deng)被行(xing)業認(ren)可的(de)(de)數(shu)(shu)據(ju)(ju)(ju)集的(de)(de)公(gong)開數(shu)(shu)據(ju)(ju)(ju)，保障了訓練(lian)樣(yang)本的(de)(de)有(you)效性；自有(you)采集數(shu)(shu)據(ju)(ju)(ju)結(jie)合實際的(de)(de)辦公(gong)場景(jing)及(ji)模(mo)擬(ni)的(de)(de)違規行(xing)為(wei)場景(jing)，以保障數(shu)(shu)據(ju)(ju)(ju)的(de)(de)適(shi)用(yong)(yong)性。在模(mo)型(xing)訓練(lian)方面，選(xuan)取YOLO5n-v6的(de)(de)模(mo)型(xing)結(jie)構，采用(yong)(yong)“預(yu)訓練(lian)+微(wei)調”的(de)(de)方式，通過公(gong)開數(shu)(shu)據(ju)(ju)(ju)進(jin)行(xing)模(mo)型(xing)預(yu)訓練(lian)，將自有(you)采集數(shu)(shu)據(ju)(ju)(ju)在預(yu)訓練(lian)的(de)(de)基礎上進(jin)行(xing)微(wei)調，在微(wei)調過程中不凍結(jie)任何學習(xi)層。基于YOLO5算(suan)法(fa)，系統構建(jian)了拍照行(xing)為(wei)、伏案抄寫(xie)、人員離崗三個(ge)異常(chang)行(xing)為(wei)識別模(mo)型(xing)并進(jin)行(xing)多(duo)輪(lun)模(mo)型(xing)調優，經實際應(ying)用(yong)(yong)檢(jian)測，三個(ge)模(mo)型(xing)的(de)(de)識別準(zhun)確率均在95%以上。

(2)智能終端違規識別模塊

智(zhi)能終(zhong)(zhong)端違(wei)規(gui)識(shi)別(bie)(bie)模塊主要記(ji)錄(lu)并識(shi)別(bie)(bie)人員在(zai)桌(zhuo)面終(zhong)(zhong)端的(de)異(yi)常(chang)行(xing)(xing)為(wei)，基于OCR技術將(jiang)人員桌(zhuo)面終(zhong)(zhong)端的(de)錄(lu)屏記(ji)錄(lu)轉化為(wei)文(wen)本內容進行(xing)(xing)存(cun)儲，同時記(ji)錄(lu)人員的(de)鍵(jian)盤(pan)、鼠標等操(cao)(cao)作(zuo)(zuo)行(xing)(xing)為(wei)日志。將(jiang)錄(lu)屏數(shu)(shu)(shu)據(ju)以及(ji)操(cao)(cao)作(zuo)(zuo)日志數(shu)(shu)(shu)據(ju)相結合，利用(yong)自(zi)然(ran)語(yu)言處(chu)理、機器學(xue)習(xi)、深(shen)度學(xue)習(xi)技術，并結合浦發卡中心實際應(ying)用(yong)需求，覆蓋(gai)敏(min)感(gan)(gan)數(shu)(shu)(shu)據(ju)訪問高危(wei)操(cao)(cao)作(zuo)(zuo)及(ji)異(yi)常(chang)操(cao)(cao)作(zuo)(zuo)兩類(lei)行(xing)(xing)為(wei)場景。在(zai)敏(min)感(gan)(gan)數(shu)(shu)(shu)據(ju)訪問方(fang)面，采用(yong)命(ming)名實體(ti)識(shi)別(bie)(bie)(NER)技術和正則匹配法(fa)識(shi)別(bie)(bie)文(wen)本中的(de)敏(min)感(gan)(gan)數(shu)(shu)(shu)據(ju)及(ji)敏(min)感(gan)(gan)數(shu)(shu)(shu)據(ju)類(lei)型;在(zai)異(yi)常(chang)操(cao)(cao)作(zuo)(zuo)行(xing)(xing)為(wei)方(fang)面，采用(yong)核(he)密度估計算法(fa)(KDE)識(shi)別(bie)(bie)操(cao)(cao)作(zuo)(zuo)事件日志反(fan)映的(de)異(yi)常(chang)操(cao)(cao)作(zuo)(zuo)行(xing)(xing)為(wei)和高危(wei)操(cao)(cao)作(zuo)(zuo)行(xing)(xing)為(wei)。終(zhong)(zhong)端違(wei)規(gui)識(shi)別(bie)(bie)邏(luo)輯如圖3所示。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智(zhi)能聯(lian)合(he)檢(jian)(jian)測(ce)(ce)模(mo)塊(kuai)基于智(zhi)能行(xing)為檢(jian)(jian)測(ce)(ce)模(mo)塊(kuai)與智(zhi)能終端(duan)違規(gui)識別(bie)模(mo)塊(kuai)的識別(bie)過(guo)程及結果(guo)數據進(jin)行(xing)聯(lian)動識別(bie)檢(jian)(jian)測(ce)(ce)，主(zhu)要(yao)(yao)解決(jue)智(zhi)能終端(duan)違規(gui)識別(bie)模(mo)塊(kuai)無法準(zhun)確認定(ding)違規(gui)事件(jian)等(deng)(deng)問(wen)題。智(zhi)能聯(lian)合(he)檢(jian)(jian)測(ce)(ce)模(mo)型(xing)(xing)基于桌面(mian)終端(duan)以及員(yuan)工(gong)行(xing)為數據，采(cai)用時間序列預測(ce)(ce)模(mo)型(xing)(xing)，對(dui)(dui)員(yuan)工(gong)異常(chang)違規(gui)行(xing)為進(jin)行(xing)識別(bie)與判定(ding)，主(zhu)要(yao)(yao)識別(bie)的敏感(gan)數據泄露核心(xin)場景包括“敏感(gan)數據訪問(wen)+高(gao)保(bao)密網(wang)站、高(gao)保(bao)密文檔”“拍照、伏(fu)案抄寫+離開未鎖屏”等(deng)(deng)。經(jing)實際驗證測(ce)(ce)試，智(zhi)能聯(lian)合(he)檢(jian)(jian)測(ce)(ce)模(mo)塊(kuai)識別(bie)的綜合(he)準(zhun)確率達95%以上。此外，智(zhi)能聯(lian)合(he)檢(jian)(jian)測(ce)(ce)模(mo)塊(kuai)建立了系(xi)統(tong)協(xie)同機制與功能擴展機制，未來(lai)可以快速地納入新的監(jian)測(ce)(ce)項(xiang)目和監(jian)測(ce)(ce)場景，有助于銀(yin)行(xing)對(dui)(dui)合(he)規(gui)要(yao)(yao)求(qiu)的即(ji)時響(xiang)應(ying)。

(4)AI數據處理模塊

AI數(shu)據(ju)處理模塊(kuai)的數(shu)據(ju)處理速率(lv)(lv)可達到每(mei)秒(miao)800張(zhang)圖片，能夠同時支持(chi)160臺終端進行(xing)數(shu)據(ju)采集、分析，即每(mei)個(ge)終端每(mei)秒(miao)可采集、分析5張(zhang)圖像的數(shu)據(ju)，且不(bu)會(hui)產生數(shu)據(ju)堆積的風(feng)險，從(cong)而增(zeng)強了智(zhi)能動作行(xing)為識別審(shen)計(ji)系統整體的處理速度和準確率(lv)(lv)。

(5)智能告警與取證模塊

智(zhi)能(neng)告警(jing)(jing)(jing)與取證模塊主要用(yong)于實現違(wei)規(gui)事件(jian)阻斷(duan)(duan)、告警(jing)(jing)(jing)信(xin)(xin)息觸達以及證據鏈留存與取證。該模塊通(tong)過彈屏等(deng)方式對(dui)(dui)操(cao)作(zuo)人(ren)員進行告警(jing)(jing)(jing)并(bing)阻斷(duan)(duan)其違(wei)規(gui)行為，基于違(wei)規(gui)告警(jing)(jing)(jing)事件(jian)歸集(ji)、整理相關證據鏈并(bing)進行留存，且支持后續(xu)一鍵調閱。智(zhi)能(neng)告警(jing)(jing)(jing)與取證模塊下的告警(jing)(jing)(jing)信(xin)(xin)息觸達功能(neng)模塊將(jiang)在違(wei)規(gui)事件(jian)被識別后的第一時(shi)間將(jiang)相關信(xin)(xin)息發送給相關負(fu)責(ze)人(ren)，便于其對(dui)(dui)違(wei)規(gui)事件(jian)進行及時(shi)處理。

智能動作行(xing)為(wei)識(shi)別審(shen)計系(xi)統(tong)可(ke)迅速識(shi)別潛在的(de)敏感數據訪問或信息泄露行(xing)為(wei)，增強了(le)銀(yin)行(xing)在人(ren)員違規行(xing)為(wei)方面的(de)防(fang)護能力。一旦(dan)系(xi)統(tong)檢測到異常行(xing)為(wei)，會立(li)即發出告警并采(cai)取(qu)必要措(cuo)施，以屏幕錄像和人(ren)員錄像的(de)形式(shi)記錄和定位違規操作，以便銀(yin)行(xing)進行(xing)后(hou)續的(de)調查(cha)和取(qu)證。

智(zhi)(zhi)能動作行(xing)為(wei)識別審(shen)計系統為(wei)浦(pu)(pu)發卡(ka)(ka)中心(xin)提(ti)(ti)供了(le)便(bian)捷的人(ren)員(yuan)監(jian)(jian)控(kong)工具，并可根據監(jian)(jian)測需要對系統進行(xing)功能拓展，以(yi)適(shi)應(ying)不斷變化的監(jian)(jian)管環境，使(shi)浦(pu)(pu)發卡(ka)(ka)中心(xin)能夠快速(su)響應(ying)合規要求(qiu)，提(ti)(ti)升信息安全審(shen)計工作的智(zhi)(zhi)能化和便(bian)捷性，減少傳統管理模式中人(ren)工執行(xing)的工作量。

智能(neng)動作行為(wei)識別審計系統將YOLO5算法等成熟的(de)先進技術應用在內(nei)(nei)控管理領域(yu)，不僅降低了(le)數據(ju)泄露(lu)的(de)風險，而(er)且有效提(ti)升了(le)銀(yin)行的(de)信息安全防護水(shui)平(ping)和內(nei)(nei)部威脅防范能(neng)力(li)。