隨著業(ye)(ye)務數(shu)字化變革的(de)(de)加速(su)(su)，銀行(xing)(xing)(xing)(xing)業(ye)(ye)面(mian)臨的(de)(de)內(nei)外(wai)部信(xin)息(xi)安(an)全挑戰愈發嚴峻，其中內(nei)部挑戰主要源于銀行(xing)(xing)(xing)(xing)內(nei)控(kong)(kong)和各項管(guan)理要求的(de)(de)日益(yi)嚴格(ge)，尤其是近年來相關部門對于個人(ren)信(xin)息(xi)安(an)全保護要求的(de)(de)不斷升級(ji)。相對而言，銀行(xing)(xing)(xing)(xing)對于內(nei)部人(ren)員(yuan)違規行(xing)(xing)(xing)(xing)為的(de)(de)防范意識較為薄弱，對于拍照和抄寫內(nei)部信(xin)息(xi)等(deng)違規行(xing)(xing)(xing)(xing)為缺少有(you)效的(de)(de)技術管(guan)理手段(duan)。雖然(ran)一些監(jian)控(kong)(kong)審計類的(de)(de)產品可用于智能監(jian)測員(yuan)工行(xing)(xing)(xing)(xing)為，但欠缺對系(xi)統內(nei)部數(shu)據的(de)(de)審計能力，以及對于員(yuan)工行(xing)(xing)(xing)(xing)為與系(xi)統操(cao)作(zuo)的(de)(de)關聯(lian)分析，導(dao)致無法形成完(wan)整的(de)(de)證據鏈。因此，如(ru)何同步采集人(ren)員(yuan)行(xing)(xing)(xing)(xing)為和終(zhong)端的(de)(de)操(cao)作(zuo)行(xing)(xing)(xing)(xing)為，并將(jiang)這(zhe)兩種行(xing)(xing)(xing)(xing)為進行(xing)(xing)(xing)(xing)有(you)效結(jie)合以快速(su)(su)阻斷違規行(xing)(xing)(xing)(xing)為信(xin)息(xi)，是業(ye)(ye)界亟待(dai)解決的(de)(de)問題(ti)。

近期，上海浦(pu)(pu)東發展(zhan)銀(yin)行(xing)(xing)信用(yong)卡(ka)中心(以下簡稱(cheng)“浦(pu)(pu)發卡(ka)中心”)采(cai)用(yong)人(ren)(ren)工(gong)智能和計(ji)(ji)算機視覺技術研發了(le)智能動作(zuo)行(xing)(xing)為(wei)識別(bie)審計(ji)(ji)系(xi)統，實(shi)現了(le)監(jian)(jian)控和分析人(ren)(ren)員(yuan)(yuan)行(xing)(xing)為(wei)以及終端(duan)敏(min)感操作(zuo)的聯合審計(ji)(ji)。這一(yi)系(xi)統整合了(le)多(duo)模態數(shu)據(ju)檢索(suo)技術，能夠捕獲員(yuan)(yuan)工(gong)在(zai)工(gong)作(zuo)過程中的異常行(xing)(xing)為(wei)，對員(yuan)(yuan)工(gong)可能訪問或處理的敏(min)感數(shu)據(ju)也同(tong)步(bu)進行(xing)(xing)內容識別(bie)監(jian)(jian)測。該系(xi)統適用(yong)于根據(ju)監(jian)(jian)管(guan)要求(qiu)和行(xing)(xing)內制(zhi)度需要對PC終端(duan)行(xing)(xing)為(wei)和辦公人(ren)(ren)員(yuan)(yuan)動作(zuo)行(xing)(xing)為(wei)進行(xing)(xing)整體監(jian)(jian)控的高安全級別(bie)工(gong)作(zuo)場景，如(ru)容易造(zao)成企業(ye)信息或其他(ta)重(zhong)要信息泄露的業(ye)務(wu)環境。尤其在(zai)《中華人(ren)(ren)民共(gong)和國個人(ren)(ren)信息保護法》頒布后，相關部門(men)對于數(shu)據(ju)使用(yong)環節的要求(qiu)更加嚴(yan)格，銀(yin)行(xing)(xing)在(zai)數(shu)據(ju)操作(zuo)和系(xi)統維護等關鍵領域的安全要求(qiu)更高。

智(zhi)能(neng)(neng)(neng)動作(zuo)(zuo)行(xing)為(wei)識(shi)別審計系統(tong)采用SpringBoot、Kafka、Redis等主流技術，以確保高性能(neng)(neng)(neng)和高并(bing)發(fa)處理。其(qi)中SpringBoot應用于(yu)Web后(hou)端搭建，為(wei)用戶提(ti)(ti)供Java后(hou)端基礎(chu)功能(neng)(neng)(neng)的(de)接(jie)口服(fu)務，提(ti)(ti)高程序的(de)開(kai)發(fa)效率;Kafka作(zuo)(zuo)為(wei)消息(xi)中間件，負責日志、告警(jing)等消息(xi)的(de)轉發(fa)，通過消息(xi)隊列、消息(xi)確認機制，保障高并(bing)發(fa)場景下(xia)海量日志、告警(jing)消息(xi)的(de)高速(su)轉發(fa)及(ji)數(shu)(shu)據(ju)(ju)的(de)完整性;Redis作(zuo)(zuo)為(wei)緩(huan)存(cun)(cun)數(shu)(shu)據(ju)(ju)庫，主要負責對平(ping)臺用戶登錄信(xin)息(xi)、告警(jing)、圖片等數(shu)(shu)據(ju)(ju)進(jin)行(xing)緩(huan)存(cun)(cun)，通過Redis的(de)內存(cun)(cun)緩(huan)存(cun)(cun)機制，可(ke)提(ti)(ti)高告警(jing)、圖片等數(shu)(shu)據(ju)(ju)在接(jie)口調(diao)用時(shi)的(de)讀(du)寫速(su)度，縮(suo)短單個接(jie)口的(de)調(diao)用時(shi)長(chang)，提(ti)(ti)升(sheng)高并(bing)發(fa)的(de)性能(neng)(neng)(neng)。智(zhi)能(neng)(neng)(neng)動作(zuo)(zuo)行(xing)為(wei)識(shi)別審計系統(tong)技術架構(gou)如(ru)圖1所示。

圖1 智能動作行為識別審計系統技術架構

智(zhi)能(neng)(neng)動(dong)作行(xing)為(wei)識(shi)別審計系(xi)統(tong)應用平臺由客(ke)戶(hu)(hu)端和(he)后端服務組(zu)成，其中客(ke)戶(hu)(hu)端安裝在前(qian)端的終端側(ce)，根據(ju)后臺配置(zhi)策(ce)略操(cao)控終端上(shang)安裝的攝像頭硬件;后端服務由管理服務器、AI服務器和(he)流媒體(ti)服務器組(zu)成。客(ke)戶(hu)(hu)端負責人(ren)員行(xing)為(wei)視頻(pin)數(shu)(shu)據(ju)、終端錄屏(ping)數(shu)(shu)據(ju)以及文(wen)本(ben)日(ri)志數(shu)(shu)據(ju)的采集(ji)與(yu)發送;后端服務中的流媒體(ti)服務器負責客(ke)戶(hu)(hu)端多(duo)種數(shu)(shu)據(ju)的接收，AI服務器針對視頻(pin)數(shu)(shu)據(ju)進(jin)行(xing)智(zhi)能(neng)(neng)識(shi)別，管理服務器對策(ce)略配置(zhi)、監控數(shu)(shu)據(ju)、智(zhi)能(neng)(neng)識(shi)別數(shu)(shu)據(ju)進(jin)行(xing)檢索與(yu)查看(kan)。智(zhi)能(neng)(neng)動(dong)作行(xing)為(wei)識(shi)別審計系(xi)統(tong)應用架構如圖2所示。

圖2 智能動作行為識別審計系統應用架構

智能(neng)動作(zuo)行(xing)為(wei)(wei)(wei)(wei)識(shi)(shi)別審計系統主要采集(ji)終(zhong)端(duan)的桌面(mian)視頻(pin)、攝(she)(she)像(xiang)頭視頻(pin)、終(zhong)端(duan)行(xing)為(wei)(wei)(wei)(wei)文本日(ri)志(鼠(shu)標點(dian)擊、鍵(jian)盤、應(ying)用(yong)進程等(deng)，根據(ju)(ju)錄(lu)屏(ping)策略(lve)控制采集(ji)范圍)。以終(zhong)端(duan)為(wei)(wei)(wei)(wei)Intel Xeon Gold 5218處理器、主頻(pin)率為(wei)(wei)(wei)(wei)2.30GHz，內(nei)存為(wei)(wei)(wei)(wei)32G，操作(zuo)系統為(wei)(wei)(wei)(wei)Windows Server 2016為(wei)(wei)(wei)(wei)例，在(zai)對(dui)終(zhong)端(duan)性能(neng)進行(xing)平衡考(kao)量(liang)時，在(zai)滿足動作(zuo)識(shi)(shi)別要求(qiu)的前提下，調整錄(lu)屏(ping)畫質為(wei)(wei)(wei)(wei)“低”，錄(lu)像(xiang)攝(she)(she)像(xiang)頭分(fen)辨率為(wei)(wei)(wei)(wei)640×480ppi，幀率為(wei)(wei)(wei)(wei)15fps，此(ci)時CPU占(zhan)用(yong)約(yue)14%，內(nei)存占(zhan)用(yong)約(yue)1%。在(zai)對(dui)數(shu)據(ju)(ju)傳(chuan)輸進行(xing)考(kao)量(liang)時，將終(zhong)端(duan)錄(lu)像(xiang)分(fen)辨率調整為(wei)(wei)(wei)(wei)480ppi、錄(lu)屏(ping)分(fen)辨率調整為(wei)(wei)(wei)(wei)1080ppi，行(xing)為(wei)(wei)(wei)(wei)日(ri)志傳(chuan)輸速率按(an)照1條/秒，網(wang)絡帶寬總計需(xu)要約(yue)2Mbps。

智(zhi)能動作行(xing)為(wei)(wei)識(shi)別審計系統應用(yong)組成(cheng)模(mo)(mo)塊(kuai)(kuai)(kuai)包括智(zhi)能行(xing)為(wei)(wei)檢(jian)測模(mo)(mo)塊(kuai)(kuai)(kuai)、智(zhi)能終(zhong)端違規識(shi)別模(mo)(mo)塊(kuai)(kuai)(kuai)、智(zhi)能聯合檢(jian)測模(mo)(mo)塊(kuai)(kuai)(kuai)、數據處(chu)理(li)模(mo)(mo)塊(kuai)(kuai)(kuai)、智(zhi)能告(gao)警與取(qu)證模(mo)(mo)塊(kuai)(kuai)(kuai)等五(wu)個模(mo)(mo)塊(kuai)(kuai)(kuai)，每個模(mo)(mo)塊(kuai)(kuai)(kuai)具有不同的功能并相(xiang)互關聯、協同處(chu)置(zhi)。

(1)智能行為檢測模塊

智能行為檢測模塊主(zhu)要用于快速、準(zhun)確識別錄像、影(ying)像中(zhong)辦(ban)公人員(yuan)的異常行為，如拍照、伏案抄寫、人員(yuan)離崗等。

智(zhi)能動(dong)作(zuo)行(xing)為(wei)(wei)(wei)識(shi)別審計系統(tong)采(cai)用(yong)計算耗(hao)時短、識(shi)別精(jing)度高(gao)以及便于平臺部(bu)署的(de)YOLO5算法(fa)。在(zai)(zai)訓練(lian)(lian)數據(ju)(ju)(ju)(ju)集(ji)方(fang)(fang)面(mian)(mian)，采(cai)用(yong)“公開數據(ju)(ju)(ju)(ju)+自(zi)有采(cai)集(ji)數據(ju)(ju)(ju)(ju)”相(xiang)結合的(de)方(fang)(fang)式，公開數據(ju)(ju)(ju)(ju)使用(yong)COCO、Object 365等被行(xing)業認可的(de)數據(ju)(ju)(ju)(ju)集(ji)的(de)公開數據(ju)(ju)(ju)(ju)，保障了訓練(lian)(lian)樣本的(de)有效性；自(zi)有采(cai)集(ji)數據(ju)(ju)(ju)(ju)結合實際的(de)辦公場景及模(mo)擬的(de)違(wei)規(gui)行(xing)為(wei)(wei)(wei)場景，以保障數據(ju)(ju)(ju)(ju)的(de)適用(yong)性。在(zai)(zai)模(mo)型(xing)(xing)訓練(lian)(lian)方(fang)(fang)面(mian)(mian)，選取YOLO5n-v6的(de)模(mo)型(xing)(xing)結構，采(cai)用(yong)“預訓練(lian)(lian)+微調”的(de)方(fang)(fang)式，通過公開數據(ju)(ju)(ju)(ju)進(jin)行(xing)模(mo)型(xing)(xing)預訓練(lian)(lian)，將自(zi)有采(cai)集(ji)數據(ju)(ju)(ju)(ju)在(zai)(zai)預訓練(lian)(lian)的(de)基礎上進(jin)行(xing)微調，在(zai)(zai)微調過程中不凍(dong)結任(ren)何學習層。基于YOLO5算法(fa)，系統(tong)構建了拍照行(xing)為(wei)(wei)(wei)、伏案抄寫、人員離崗三個異常行(xing)為(wei)(wei)(wei)識(shi)別模(mo)型(xing)(xing)并進(jin)行(xing)多(duo)輪模(mo)型(xing)(xing)調優，經實際應用(yong)檢測，三個模(mo)型(xing)(xing)的(de)識(shi)別準確率(lv)均在(zai)(zai)95%以上。

(2)智能終端違規識別模塊

智能終端違(wei)規(gui)識(shi)別(bie)(bie)模塊(kuai)主要記(ji)錄(lu)(lu)(lu)并識(shi)別(bie)(bie)人員在桌面終端的(de)異(yi)常行(xing)(xing)為，基于OCR技術(shu)將人員桌面終端的(de)錄(lu)(lu)(lu)屏記(ji)錄(lu)(lu)(lu)轉化為文本(ben)內容進行(xing)(xing)存儲(chu)，同時(shi)記(ji)錄(lu)(lu)(lu)人員的(de)鍵盤、鼠標等操(cao)(cao)作(zuo)行(xing)(xing)為日志。將錄(lu)(lu)(lu)屏數(shu)據以及(ji)(ji)操(cao)(cao)作(zuo)日志數(shu)據相結合，利用自然(ran)語言處理、機器(qi)學習、深度學習技術(shu)，并結合浦發卡(ka)中心(xin)實際應用需求，覆蓋敏(min)感(gan)數(shu)據訪(fang)問高危操(cao)(cao)作(zuo)及(ji)(ji)異(yi)常操(cao)(cao)作(zuo)兩類行(xing)(xing)為場景。在敏(min)感(gan)數(shu)據訪(fang)問方面，采用命名(ming)實體識(shi)別(bie)(bie)(NER)技術(shu)和(he)(he)正(zheng)則(ze)匹配法(fa)識(shi)別(bie)(bie)文本(ben)中的(de)敏(min)感(gan)數(shu)據及(ji)(ji)敏(min)感(gan)數(shu)據類型;在異(yi)常操(cao)(cao)作(zuo)行(xing)(xing)為方面，采用核密度估(gu)計算(suan)法(fa)(KDE)識(shi)別(bie)(bie)操(cao)(cao)作(zuo)事件日志反映的(de)異(yi)常操(cao)(cao)作(zuo)行(xing)(xing)為和(he)(he)高危操(cao)(cao)作(zuo)行(xing)(xing)為。終端違(wei)規(gui)識(shi)別(bie)(bie)邏輯如(ru)圖3所示。

圖3 終端違規識別邏輯

(3)智能聯合檢測模塊

智能(neng)聯(lian)(lian)(lian)合(he)檢(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)塊(kuai)基于(yu)智能(neng)行(xing)(xing)為檢(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)塊(kuai)與(yu)(yu)(yu)智能(neng)終(zhong)端違規(gui)(gui)(gui)識(shi)別(bie)(bie)模(mo)(mo)塊(kuai)的(de)識(shi)別(bie)(bie)過程及結(jie)果數(shu)(shu)據(ju)(ju)進行(xing)(xing)聯(lian)(lian)(lian)動識(shi)別(bie)(bie)檢(jian)(jian)測(ce)(ce)(ce)，主要解決智能(neng)終(zhong)端違規(gui)(gui)(gui)識(shi)別(bie)(bie)模(mo)(mo)塊(kuai)無法準確(que)認(ren)定(ding)違規(gui)(gui)(gui)事(shi)件等問題。智能(neng)聯(lian)(lian)(lian)合(he)檢(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)型(xing)基于(yu)桌面終(zhong)端以(yi)及員工(gong)行(xing)(xing)為數(shu)(shu)據(ju)(ju)，采用時間序列預測(ce)(ce)(ce)模(mo)(mo)型(xing)，對員工(gong)異常(chang)違規(gui)(gui)(gui)行(xing)(xing)為進行(xing)(xing)識(shi)別(bie)(bie)與(yu)(yu)(yu)判定(ding)，主要識(shi)別(bie)(bie)的(de)敏感數(shu)(shu)據(ju)(ju)泄(xie)露核心(xin)場(chang)景(jing)包(bao)括“敏感數(shu)(shu)據(ju)(ju)訪問+高保密網站、高保密文檔”“拍照、伏案(an)抄寫+離開未鎖屏(ping)”等。經實(shi)際驗(yan)證測(ce)(ce)(ce)試，智能(neng)聯(lian)(lian)(lian)合(he)檢(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)塊(kuai)識(shi)別(bie)(bie)的(de)綜合(he)準確(que)率達95%以(yi)上(shang)。此外，智能(neng)聯(lian)(lian)(lian)合(he)檢(jian)(jian)測(ce)(ce)(ce)模(mo)(mo)塊(kuai)建(jian)立(li)了系統協(xie)同機(ji)制與(yu)(yu)(yu)功(gong)能(neng)擴(kuo)展機(ji)制，未來可以(yi)快速地(di)納入新的(de)監測(ce)(ce)(ce)項目和監測(ce)(ce)(ce)場(chang)景(jing)，有(you)助(zhu)于(yu)銀行(xing)(xing)對合(he)規(gui)(gui)(gui)要求的(de)即時響應。

(4)AI數據處理模塊

AI數(shu)據(ju)處理(li)模塊(kuai)的(de)數(shu)據(ju)處理(li)速(su)率(lv)可(ke)(ke)達(da)到(dao)每(mei)秒(miao)(miao)800張(zhang)圖片，能(neng)夠(gou)同時支持(chi)160臺終端(duan)進(jin)行數(shu)據(ju)采集、分析(xi)，即每(mei)個終端(duan)每(mei)秒(miao)(miao)可(ke)(ke)采集、分析(xi)5張(zhang)圖像的(de)數(shu)據(ju)，且不(bu)會產(chan)生數(shu)據(ju)堆(dui)積的(de)風險，從而增強了智(zhi)能(neng)動作行為識別(bie)審(shen)計系(xi)統整體的(de)處理(li)速(su)度和準確(que)率(lv)。

(5)智能告警與取證模塊

智能(neng)告(gao)警(jing)(jing)與取證(zheng)模(mo)塊(kuai)主要(yao)用于(yu)實現違(wei)(wei)規(gui)事件(jian)(jian)阻(zu)斷、告(gao)警(jing)(jing)信息(xi)觸達以(yi)及證(zheng)據鏈(lian)留(liu)存與取證(zheng)。該模(mo)塊(kuai)通過彈屏等方(fang)式(shi)對操作(zuo)人員進行告(gao)警(jing)(jing)并(bing)阻(zu)斷其違(wei)(wei)規(gui)行為，基于(yu)違(wei)(wei)規(gui)告(gao)警(jing)(jing)事件(jian)(jian)歸集(ji)、整(zheng)理(li)相(xiang)關(guan)證(zheng)據鏈(lian)并(bing)進行留(liu)存，且(qie)支持后續(xu)一鍵調閱。智能(neng)告(gao)警(jing)(jing)與取證(zheng)模(mo)塊(kuai)下的(de)告(gao)警(jing)(jing)信息(xi)觸達功能(neng)模(mo)塊(kuai)將在違(wei)(wei)規(gui)事件(jian)(jian)被識別后的(de)第(di)一時間(jian)將相(xiang)關(guan)信息(xi)發送給相(xiang)關(guan)負責人，便于(yu)其對違(wei)(wei)規(gui)事件(jian)(jian)進行及時處理(li)。

智能動作行(xing)(xing)為識別審計(ji)系統(tong)可迅(xun)速(su)識別潛在的(de)敏感(gan)數(shu)據訪(fang)問或信息(xi)泄露行(xing)(xing)為，增(zeng)強(qiang)了銀行(xing)(xing)在人員違規行(xing)(xing)為方面的(de)防護能力。一旦系統(tong)檢測到異常行(xing)(xing)為，會立即發出告警并采取(qu)必要措(cuo)施，以屏幕(mu)錄像和人員錄像的(de)形式記(ji)錄和定位違規操作，以便銀行(xing)(xing)進行(xing)(xing)后續(xu)的(de)調查和取(qu)證。

智能動作行(xing)為識別審(shen)(shen)計系(xi)統(tong)(tong)為浦(pu)發卡中心提供(gong)了便(bian)捷(jie)(jie)的人員監(jian)控工(gong)具，并可根據(ju)監(jian)測需要(yao)對系(xi)統(tong)(tong)進行(xing)功能拓展，以適應不斷變化(hua)的監(jian)管(guan)環境，使浦(pu)發卡中心能夠(gou)快速響(xiang)應合規(gui)要(yao)求，提升(sheng)信息安全審(shen)(shen)計工(gong)作的智能化(hua)和便(bian)捷(jie)(jie)性，減少傳(chuan)統(tong)(tong)管(guan)理模式中人工(gong)執(zhi)行(xing)的工(gong)作量。

智(zhi)能動作行為識(shi)別審計系(xi)統將YOLO5算(suan)法等成(cheng)熟的(de)先進技(ji)術(shu)應用在內(nei)控管理領域，不僅降低了(le)(le)數據泄露的(de)風險(xian)，而且有效提升了(le)(le)銀行的(de)信(xin)息(xi)安全防(fang)護水平和內(nei)部威(wei)脅防(fang)范能力。