隨(sui)著(zhu)業(ye)務數字化變革的(de)(de)(de)加速，銀(yin)行(xing)業(ye)面臨的(de)(de)(de)內外(wai)部(bu)信(xin)息(xi)安全挑戰(zhan)愈(yu)發嚴峻，其中內部(bu)挑戰(zhan)主要(yao)源于(yu)銀(yin)行(xing)內控和(he)各項(xiang)管理(li)要(yao)求的(de)(de)(de)日益嚴格(ge)，尤其是近年來相關部(bu)門對(dui)于(yu)個人信(xin)息(xi)安全保護要(yao)求的(de)(de)(de)不斷(duan)升級(ji)。相對(dui)而言，銀(yin)行(xing)對(dui)于(yu)內部(bu)人員違規(gui)行(xing)為(wei)(wei)(wei)的(de)(de)(de)防范意(yi)識較為(wei)(wei)(wei)薄弱，對(dui)于(yu)拍照和(he)抄寫內部(bu)信(xin)息(xi)等違規(gui)行(xing)為(wei)(wei)(wei)缺少有(you)效的(de)(de)(de)技術管理(li)手(shou)段。雖然(ran)一(yi)些(xie)監控審計類的(de)(de)(de)產(chan)品可(ke)用于(yu)智能(neng)(neng)監測員工行(xing)為(wei)(wei)(wei)，但欠缺對(dui)系統內部(bu)數據(ju)的(de)(de)(de)審計能(neng)(neng)力，以(yi)及(ji)對(dui)于(yu)員工行(xing)為(wei)(wei)(wei)與系統操(cao)作的(de)(de)(de)關聯分(fen)析，導致無法形成(cheng)完整(zheng)的(de)(de)(de)證據(ju)鏈。因此，如何同步采集(ji)人員行(xing)為(wei)(wei)(wei)和(he)終端的(de)(de)(de)操(cao)作行(xing)為(wei)(wei)(wei)，并將這兩(liang)種行(xing)為(wei)(wei)(wei)進行(xing)有(you)效結合以(yi)快速阻斷(duan)違規(gui)行(xing)為(wei)(wei)(wei)信(xin)息(xi)，是業(ye)界亟待解決的(de)(de)(de)問題。

近期，上海浦(pu)(pu)東發展銀行信用(yong)卡(ka)(ka)中心(以下簡(jian)稱“浦(pu)(pu)發卡(ka)(ka)中心”)采用(yong)人工(gong)(gong)智(zhi)能和計算機視覺(jue)技(ji)術研(yan)發了智(zhi)能動作(zuo)行為(wei)識別審計系(xi)統(tong)(tong)，實現了監控和分(fen)析人員(yuan)行為(wei)以及終端(duan)敏感操(cao)作(zuo)的(de)聯(lian)合(he)(he)審計。這一系(xi)統(tong)(tong)整合(he)(he)了多模態(tai)數(shu)據(ju)(ju)檢索技(ji)術，能夠捕獲員(yuan)工(gong)(gong)在(zai)工(gong)(gong)作(zuo)過程(cheng)中的(de)異常行為(wei)，對員(yuan)工(gong)(gong)可能訪(fang)問或(huo)處理的(de)敏感數(shu)據(ju)(ju)也同步進行內(nei)容識別監測。該系(xi)統(tong)(tong)適用(yong)于根據(ju)(ju)監管要(yao)(yao)求(qiu)和行內(nei)制度需要(yao)(yao)對PC終端(duan)行為(wei)和辦公人員(yuan)動作(zuo)行為(wei)進行整體監控的(de)高安全級別工(gong)(gong)作(zuo)場景，如容易造成(cheng)企業(ye)信息或(huo)其(qi)他重要(yao)(yao)信息泄露的(de)業(ye)務環(huan)境。尤其(qi)在(zai)《中華人民共和國個人信息保護(hu)法(fa)》頒(ban)布后，相關部(bu)門對于數(shu)據(ju)(ju)使用(yong)環(huan)節的(de)要(yao)(yao)求(qiu)更加嚴(yan)格，銀行在(zai)數(shu)據(ju)(ju)操(cao)作(zuo)和系(xi)統(tong)(tong)維(wei)護(hu)等(deng)關鍵(jian)領(ling)域的(de)安全要(yao)(yao)求(qiu)更高。

智能(neng)動作行為識(shi)別(bie)審(shen)計系統(tong)采用(yong)(yong)(yong)SpringBoot、Kafka、Redis等(deng)主流技術，以確(que)保高(gao)(gao)性(xing)(xing)能(neng)和(he)高(gao)(gao)并發(fa)處理。其中SpringBoot應用(yong)(yong)(yong)于Web后(hou)端搭建，為用(yong)(yong)(yong)戶(hu)(hu)提(ti)供(gong)Java后(hou)端基礎功能(neng)的(de)(de)接口(kou)(kou)服務，提(ti)高(gao)(gao)程序的(de)(de)開(kai)發(fa)效(xiao)率(lv);Kafka作為消息中間件，負(fu)責(ze)日志、告警(jing)(jing)等(deng)消息的(de)(de)轉發(fa)，通過消息隊列、消息確(que)認(ren)機制，保障高(gao)(gao)并發(fa)場(chang)景(jing)下(xia)海(hai)量日志、告警(jing)(jing)消息的(de)(de)高(gao)(gao)速(su)轉發(fa)及數(shu)(shu)據的(de)(de)完整性(xing)(xing);Redis作為緩存數(shu)(shu)據庫，主要(yao)負(fu)責(ze)對平(ping)臺用(yong)(yong)(yong)戶(hu)(hu)登錄信息、告警(jing)(jing)、圖片(pian)(pian)等(deng)數(shu)(shu)據進行緩存，通過Redis的(de)(de)內存緩存機制，可提(ti)高(gao)(gao)告警(jing)(jing)、圖片(pian)(pian)等(deng)數(shu)(shu)據在接口(kou)(kou)調用(yong)(yong)(yong)時的(de)(de)讀寫速(su)度，縮短(duan)單(dan)個(ge)接口(kou)(kou)的(de)(de)調用(yong)(yong)(yong)時長，提(ti)升高(gao)(gao)并發(fa)的(de)(de)性(xing)(xing)能(neng)。智能(neng)動作行為識(shi)別(bie)審(shen)計系統(tong)技術架構如(ru)圖1所示(shi)。

圖1 智能動作行為識別審計系統技術架構

智能動作行(xing)為識別審計系統應(ying)(ying)用(yong)平臺(tai)由客戶(hu)端(duan)(duan)(duan)和后(hou)(hou)端(duan)(duan)(duan)服(fu)務(wu)(wu)(wu)(wu)組成，其(qi)中(zhong)客戶(hu)端(duan)(duan)(duan)安裝在(zai)前端(duan)(duan)(duan)的(de)(de)(de)終(zhong)端(duan)(duan)(duan)側(ce)，根據(ju)(ju)后(hou)(hou)臺(tai)配置策略(lve)操控(kong)終(zhong)端(duan)(duan)(duan)上安裝的(de)(de)(de)攝像頭硬件;后(hou)(hou)端(duan)(duan)(duan)服(fu)務(wu)(wu)(wu)(wu)由管(guan)(guan)理(li)(li)服(fu)務(wu)(wu)(wu)(wu)器(qi)、AI服(fu)務(wu)(wu)(wu)(wu)器(qi)和流媒(mei)體服(fu)務(wu)(wu)(wu)(wu)器(qi)組成。客戶(hu)端(duan)(duan)(duan)負責人員行(xing)為視頻數據(ju)(ju)、終(zhong)端(duan)(duan)(duan)錄屏(ping)數據(ju)(ju)以及(ji)文(wen)本日志數據(ju)(ju)的(de)(de)(de)采(cai)集與發(fa)送(song);后(hou)(hou)端(duan)(duan)(duan)服(fu)務(wu)(wu)(wu)(wu)中(zhong)的(de)(de)(de)流媒(mei)體服(fu)務(wu)(wu)(wu)(wu)器(qi)負責客戶(hu)端(duan)(duan)(duan)多(duo)種數據(ju)(ju)的(de)(de)(de)接收，AI服(fu)務(wu)(wu)(wu)(wu)器(qi)針(zhen)對視頻數據(ju)(ju)進行(xing)智能識別，管(guan)(guan)理(li)(li)服(fu)務(wu)(wu)(wu)(wu)器(qi)對策略(lve)配置、監控(kong)數據(ju)(ju)、智能識別數據(ju)(ju)進行(xing)檢索與查看。智能動作行(xing)為識別審計系統應(ying)(ying)用(yong)架構如圖2所(suo)示。

圖2 智能動作行為識別審計系統應用架構

智能動(dong)作(zuo)行(xing)為(wei)(wei)(wei)(wei)識別審計系統(tong)主(zhu)要采(cai)集終端(duan)的(de)桌面視頻、攝像(xiang)頭(tou)視頻、終端(duan)行(xing)為(wei)(wei)(wei)(wei)文本日志(zhi)(鼠標點擊、鍵盤、應用進程等，根據錄(lu)屏策略(lve)控制采(cai)集范(fan)圍)。以終端(duan)為(wei)(wei)(wei)(wei)Intel Xeon Gold 5218處(chu)理器、主(zhu)頻率(lv)(lv)(lv)為(wei)(wei)(wei)(wei)2.30GHz，內存為(wei)(wei)(wei)(wei)32G，操作(zuo)系統(tong)為(wei)(wei)(wei)(wei)Windows Server 2016為(wei)(wei)(wei)(wei)例，在(zai)對終端(duan)性(xing)能進行(xing)平衡(heng)考(kao)量時，在(zai)滿足動(dong)作(zuo)識別要求的(de)前提下，調整錄(lu)屏畫質為(wei)(wei)(wei)(wei)“低”，錄(lu)像(xiang)攝像(xiang)頭(tou)分(fen)(fen)辨率(lv)(lv)(lv)為(wei)(wei)(wei)(wei)640×480ppi，幀率(lv)(lv)(lv)為(wei)(wei)(wei)(wei)15fps，此時CPU占(zhan)用約14%，內存占(zhan)用約1%。在(zai)對數據傳輸進行(xing)考(kao)量時，將(jiang)終端(duan)錄(lu)像(xiang)分(fen)(fen)辨率(lv)(lv)(lv)調整為(wei)(wei)(wei)(wei)480ppi、錄(lu)屏分(fen)(fen)辨率(lv)(lv)(lv)調整為(wei)(wei)(wei)(wei)1080ppi，行(xing)為(wei)(wei)(wei)(wei)日志(zhi)傳輸速率(lv)(lv)(lv)按照(zhao)1條(tiao)/秒，網(wang)絡(luo)帶寬總計需要約2Mbps。

智(zhi)(zhi)(zhi)能(neng)動作行為識別(bie)審計系統應(ying)用組成(cheng)模塊(kuai)包(bao)括智(zhi)(zhi)(zhi)能(neng)行為檢(jian)測模塊(kuai)、智(zhi)(zhi)(zhi)能(neng)終端(duan)違規識別(bie)模塊(kuai)、智(zhi)(zhi)(zhi)能(neng)聯合(he)檢(jian)測模塊(kuai)、數(shu)據處理模塊(kuai)、智(zhi)(zhi)(zhi)能(neng)告警與取證模塊(kuai)等五個模塊(kuai)，每個模塊(kuai)具有不同(tong)的功(gong)能(neng)并相互關聯、協(xie)同(tong)處置。

(1)智能行為檢測模塊

智(zhi)能行為檢測模塊主要(yao)用于快(kuai)速(su)、準確識別錄像、影像中(zhong)辦公人(ren)(ren)員的異常行為，如拍照、伏案抄寫、人(ren)(ren)員離崗等。

智能動(dong)作行(xing)(xing)為(wei)識別審計系統采(cai)用(yong)計算耗時短(duan)、識別精度高以(yi)及便于平(ping)臺部署的(de)(de)(de)YOLO5算法。在訓練(lian)(lian)(lian)數(shu)(shu)(shu)據(ju)(ju)集(ji)方面，采(cai)用(yong)“公(gong)開(kai)數(shu)(shu)(shu)據(ju)(ju)+自有(you)(you)采(cai)集(ji)數(shu)(shu)(shu)據(ju)(ju)”相結(jie)合的(de)(de)(de)方式，公(gong)開(kai)數(shu)(shu)(shu)據(ju)(ju)使用(yong)COCO、Object 365等被行(xing)(xing)業認可的(de)(de)(de)數(shu)(shu)(shu)據(ju)(ju)集(ji)的(de)(de)(de)公(gong)開(kai)數(shu)(shu)(shu)據(ju)(ju)，保障(zhang)了訓練(lian)(lian)(lian)樣本的(de)(de)(de)有(you)(you)效性(xing)；自有(you)(you)采(cai)集(ji)數(shu)(shu)(shu)據(ju)(ju)結(jie)合實際(ji)的(de)(de)(de)辦公(gong)場(chang)景及模擬的(de)(de)(de)違規行(xing)(xing)為(wei)場(chang)景，以(yi)保障(zhang)數(shu)(shu)(shu)據(ju)(ju)的(de)(de)(de)適用(yong)性(xing)。在模型訓練(lian)(lian)(lian)方面，選(xuan)取(qu)YOLO5n-v6的(de)(de)(de)模型結(jie)構，采(cai)用(yong)“預(yu)訓練(lian)(lian)(lian)+微調(diao)”的(de)(de)(de)方式，通(tong)過公(gong)開(kai)數(shu)(shu)(shu)據(ju)(ju)進行(xing)(xing)模型預(yu)訓練(lian)(lian)(lian)，將自有(you)(you)采(cai)集(ji)數(shu)(shu)(shu)據(ju)(ju)在預(yu)訓練(lian)(lian)(lian)的(de)(de)(de)基礎上進行(xing)(xing)微調(diao)，在微調(diao)過程中不(bu)凍結(jie)任何(he)學習層(ceng)。基于YOLO5算法，系統構建了拍照(zhao)行(xing)(xing)為(wei)、伏(fu)案(an)抄(chao)寫、人員離崗(gang)三個異常(chang)行(xing)(xing)為(wei)識別模型并進行(xing)(xing)多(duo)輪模型調(diao)優，經實際(ji)應用(yong)檢測，三個模型的(de)(de)(de)識別準確(que)率均在95%以(yi)上。

(2)智能終端違規識別模塊

智能終(zhong)(zhong)端(duan)違規識別(bie)(bie)模(mo)塊(kuai)主要記錄(lu)并識別(bie)(bie)人(ren)員(yuan)在桌面(mian)終(zhong)(zhong)端(duan)的(de)異(yi)(yi)常行(xing)(xing)為(wei)(wei)，基于OCR技術(shu)將(jiang)人(ren)員(yuan)桌面(mian)終(zhong)(zhong)端(duan)的(de)錄(lu)屏記錄(lu)轉化為(wei)(wei)文本內(nei)容進(jin)行(xing)(xing)存(cun)儲，同時記錄(lu)人(ren)員(yuan)的(de)鍵盤、鼠標(biao)等操(cao)作(zuo)(zuo)(zuo)行(xing)(xing)為(wei)(wei)日志(zhi)。將(jiang)錄(lu)屏數(shu)(shu)(shu)據(ju)(ju)以及操(cao)作(zuo)(zuo)(zuo)日志(zhi)數(shu)(shu)(shu)據(ju)(ju)相結(jie)合，利用(yong)自(zi)然語言處(chu)理、機器學習、深度學習技術(shu)，并結(jie)合浦發卡中心實際應用(yong)需(xu)求，覆蓋(gai)敏(min)感(gan)數(shu)(shu)(shu)據(ju)(ju)訪問(wen)高危(wei)操(cao)作(zuo)(zuo)(zuo)及異(yi)(yi)常操(cao)作(zuo)(zuo)(zuo)兩(liang)類行(xing)(xing)為(wei)(wei)場景(jing)。在敏(min)感(gan)數(shu)(shu)(shu)據(ju)(ju)訪問(wen)方面(mian)，采(cai)用(yong)命名實體識別(bie)(bie)(NER)技術(shu)和(he)(he)正則匹配(pei)法(fa)識別(bie)(bie)文本中的(de)敏(min)感(gan)數(shu)(shu)(shu)據(ju)(ju)及敏(min)感(gan)數(shu)(shu)(shu)據(ju)(ju)類型(xing);在異(yi)(yi)常操(cao)作(zuo)(zuo)(zuo)行(xing)(xing)為(wei)(wei)方面(mian)，采(cai)用(yong)核密度估計算法(fa)(KDE)識別(bie)(bie)操(cao)作(zuo)(zuo)(zuo)事件(jian)日志(zhi)反映的(de)異(yi)(yi)常操(cao)作(zuo)(zuo)(zuo)行(xing)(xing)為(wei)(wei)和(he)(he)高危(wei)操(cao)作(zuo)(zuo)(zuo)行(xing)(xing)為(wei)(wei)。終(zhong)(zhong)端(duan)違規識別(bie)(bie)邏輯如圖(tu)3所示(shi)。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智能(neng)聯(lian)(lian)(lian)合檢(jian)測(ce)模(mo)(mo)塊(kuai)基(ji)于(yu)智能(neng)行(xing)為檢(jian)測(ce)模(mo)(mo)塊(kuai)與(yu)智能(neng)終端違(wei)規(gui)識(shi)(shi)(shi)(shi)別(bie)模(mo)(mo)塊(kuai)的(de)識(shi)(shi)(shi)(shi)別(bie)過程及結果(guo)數(shu)據(ju)進行(xing)聯(lian)(lian)(lian)動識(shi)(shi)(shi)(shi)別(bie)檢(jian)測(ce)，主要解(jie)決智能(neng)終端違(wei)規(gui)識(shi)(shi)(shi)(shi)別(bie)模(mo)(mo)塊(kuai)無法準(zhun)確認定違(wei)規(gui)事件等問題(ti)。智能(neng)聯(lian)(lian)(lian)合檢(jian)測(ce)模(mo)(mo)型基(ji)于(yu)桌面終端以及員工(gong)行(xing)為數(shu)據(ju)，采用時(shi)間序(xu)列預測(ce)模(mo)(mo)型，對(dui)員工(gong)異常違(wei)規(gui)行(xing)為進行(xing)識(shi)(shi)(shi)(shi)別(bie)與(yu)判定，主要識(shi)(shi)(shi)(shi)別(bie)的(de)敏感數(shu)據(ju)泄露核心場景包括“敏感數(shu)據(ju)訪問+高保密網(wang)站(zhan)、高保密文檔(dang)”“拍照、伏案抄寫+離(li)開(kai)未鎖屏”等。經實際驗證(zheng)測(ce)試，智能(neng)聯(lian)(lian)(lian)合檢(jian)測(ce)模(mo)(mo)塊(kuai)識(shi)(shi)(shi)(shi)別(bie)的(de)綜合準(zhun)確率達(da)95%以上(shang)。此外(wai)，智能(neng)聯(lian)(lian)(lian)合檢(jian)測(ce)模(mo)(mo)塊(kuai)建立了系統協同機(ji)制與(yu)功能(neng)擴展機(ji)制，未來可以快速地納(na)入新的(de)監測(ce)項(xiang)目(mu)和監測(ce)場景，有助(zhu)于(yu)銀行(xing)對(dui)合規(gui)要求的(de)即(ji)時(shi)響應。

(4)AI數據處理模塊

AI數據(ju)處(chu)理模塊的數據(ju)處(chu)理速率可達到(dao)每秒800張圖片，能(neng)夠(gou)同時支持160臺終(zhong)端進行數據(ju)采集(ji)、分析，即每個終(zhong)端每秒可采集(ji)、分析5張圖像的數據(ju)，且不會產生數據(ju)堆積的風險，從(cong)而增強了(le)智能(neng)動作行為識別審(shen)計(ji)系(xi)統整體的處(chu)理速度和準確率。

(5)智能告警與取證模塊

智能(neng)告(gao)警(jing)(jing)(jing)與(yu)取(qu)(qu)證(zheng)模(mo)塊主要用于(yu)實現違規(gui)事(shi)件阻(zu)斷、告(gao)警(jing)(jing)(jing)信(xin)息(xi)觸達(da)以及證(zheng)據鏈留存與(yu)取(qu)(qu)證(zheng)。該模(mo)塊通過彈屏等方式(shi)對(dui)操作(zuo)人員進行(xing)告(gao)警(jing)(jing)(jing)并(bing)阻(zu)斷其違規(gui)行(xing)為(wei)，基于(yu)違規(gui)告(gao)警(jing)(jing)(jing)事(shi)件歸(gui)集(ji)、整理(li)相(xiang)關證(zheng)據鏈并(bing)進行(xing)留存，且支持后續一(yi)鍵(jian)調閱。智能(neng)告(gao)警(jing)(jing)(jing)與(yu)取(qu)(qu)證(zheng)模(mo)塊下(xia)的(de)告(gao)警(jing)(jing)(jing)信(xin)息(xi)觸達(da)功能(neng)模(mo)塊將在違規(gui)事(shi)件被識(shi)別后的(de)第一(yi)時間將相(xiang)關信(xin)息(xi)發送給相(xiang)關負責(ze)人，便于(yu)其對(dui)違規(gui)事(shi)件進行(xing)及時處理(li)。

智能動作行(xing)(xing)為(wei)識別審計系統可迅速識別潛在的敏感數據訪問(wen)或信(xin)息(xi)泄露行(xing)(xing)為(wei)，增(zeng)強了(le)銀行(xing)(xing)在人員違(wei)規行(xing)(xing)為(wei)方面的防護能力。一旦系統檢測到(dao)異(yi)常行(xing)(xing)為(wei)，會立即發出(chu)告警并采取(qu)必(bi)要措施，以(yi)屏幕錄(lu)像和人員錄(lu)像的形式記錄(lu)和定位違(wei)規操作，以(yi)便(bian)銀行(xing)(xing)進行(xing)(xing)后續(xu)的調查和取(qu)證。

智(zhi)能(neng)動作行(xing)為識(shi)別審計系統為浦發(fa)卡(ka)中(zhong)心(xin)提供了便捷的(de)人員監控(kong)工具，并可根據監測需要(yao)對系統進行(xing)功能(neng)拓展，以適應不斷變化(hua)的(de)監管環境(jing)，使浦發(fa)卡(ka)中(zhong)心(xin)能(neng)夠快速響應合規要(yao)求，提升信(xin)息安(an)全審計工作的(de)智(zhi)能(neng)化(hua)和(he)便捷性(xing)，減少傳統管理模式(shi)中(zhong)人工執(zhi)行(xing)的(de)工作量。

智能動作行為識(shi)別審計系(xi)統將YOLO5算(suan)法等成熟的先(xian)進(jin)技術應(ying)用(yong)在內控(kong)管理(li)領域，不僅降低了(le)數(shu)據泄露(lu)的風險，而且有效(xiao)提升了(le)銀行的信息安全(quan)防護水平(ping)和內部(bu)威脅防范能力。