尊龙凯时·人生就是搏(中国区)官方网站

作者

上海浦东发展银行信用卡中心 铁锦程

 

随着业务数字化变革的加速,银行业面临的内外部信息安全挑战愈发严峻,其中内部挑战主要源于银行内控和各项管理要求的日益严格,尤其是近年来相关部门对于个人信息安全保护要求的不断升级。相对而言,银行对于内部人员违规行为的防范意识较为薄弱,对于拍照和抄写内部信息等违规行为缺少有效的技术管理手段。虽然一些监控审计类的产品可用于智能监测员工行为,但欠缺对系统内部数据的审计能力,以及对于员工行为与系统操作的关联分析,导致无法形成完整的证据链。因此,如何同步采集人员行为和终端的操作行为,并将这两种行为进行有效结合以快速阻断违规行为信息,是业界亟待解决的问题。

 

近期,上海浦东发展银行信用卡中心(以下简称“浦发卡中心”)采用人工智能和计算机视觉技术研发了智能动作行为识别审计系统,实现了监控和分析人员行为以及终端敏感操作的联合审计。这一系统整合了多模态数据检索技术,能够捕获员工在工作过程中的异常行为,对员工可能访问或处理的敏感数据也同步进行内容识别监测。该系统适用于根据监管要求和行内制度需要对PC终端行为和办公人员动作行为进行整体监控的高安全级别工作场景,如容易造成企业信息或其他重要信息泄露的业务环境。尤其在《中华人民共和国个人信息保护法》颁布后,相关部门对于数据使用环节的要求更加严格,银行在数据操作和系统维护等关键领域的安全要求更高。

 

一、智能动作行为识别审计系统

技术架构

 

智能动作行为识别审计系统采用SpringBoot、Kafka、Redis等主流技术,以确保高性能和高并发处理。其中SpringBoot应用于Web后端搭建,为用户提供Java后端基础功能的接口服务,提高程序的开发效率;Kafka作为消息中间件,负责日志、告警等消息的转发,通过消息队列、消息确认机制,保障高并发场景下海量日志、告警消息的高速转发及数据的完整性;Redis作为缓存数据库,主要负责对平台用户登录信息、告警、图片等数据进行缓存,通过Redis的内存缓存机制,可提高告警、图片等数据在接口调用时的读写速度,缩短单个接口的调用时长,提升高并发的性能。智能动作行为识别审计系统技术架构如图1所示。

图1 智能动作行为识别审计系统技术架构

 

二、智能动作行为识别审计系统

应用架构及识别模块组成

 

1.应用架构

智能动作行为识别审计系统应用平台由客户端和后端服务组成,其中客户端安装在前端的终端侧,根据后台配置策略操控终端上安装的摄像头硬件;后端服务由管理服务器、AI服务器和流媒体服务器组成。客户端负责人员行为视频数据、终端录屏数据以及文本日志数据的采集与发送;后端服务中的流媒体服务器负责客户端多种数据的接收,AI服务器针对视频数据进行智能识别,管理服务器对策略配置、监控数据、智能识别数据进行检索与查看。智能动作行为识别审计系统应用架构如图2所示。

 

图片

图2 智能动作行为识别审计系统应用架构

 

智能动作行为识别审计系统主要采集终端的桌面视频、摄像头视频、终端行为文本日志(鼠标点击、键盘、应用进程等,根据录屏策略控制采集范围)。以终端为Intel Xeon Gold 5218处理器、主频率为2.30GHz,内存为32G,操作系统为Windows Server 2016为例,在对终端性能进行平衡考量时,在满足动作识别要求的前提下,调整录屏画质为“低”,录像摄像头分辨率为640×480ppi,帧率为15fps,此时CPU占用约14%,内存占用约1%。在对数据传输进行考量时,将终端录像分辨率调整为480ppi、录屏分辨率调整为1080ppi,行为日志传输速率按照1条/秒,网络带宽总计需要约2Mbps。

 

2.应用组成模块

智能动作行为识别审计系统应用组成模块包括智能行为检测模块、智能终端违规识别模块、智能联合检测模块、数据处理模块、智能告警与取证模块等五个模块,每个模块具有不同的功能并相互关联、协同处置。

 

(1)智能行为检测模块

 

智能行为检测模块主要用于快速、准确识别录像、影像中办公人员的异常行为,如拍照、伏案抄写、人员离岗等。

 

智能动作行为识别审计系统采用计算耗时短、识别精度高以及便于平台部署的YOLO5算法。在训练数据集方面,采用“公开数据+自有采集数据”相结合的方式,公开数据使用COCO、Object 365等被行业认可的数据集的公开数据,保障了训练样本的有效性;自有采集数据结合实际的办公场景及模拟的违规行为场景,以保障数据的适用性。在模型训练方面,选取YOLO5n-v6的模型结构,采用“预训练+微调”的方式,通过公开数据进行模型预训练,将自有采集数据在预训练的基础上进行微调,在微调过程中不冻结任何学习层。基于YOLO5算法,系统构建了拍照行为、伏案抄写、人员离岗三个异常行为识别模型并进行多轮模型调优,经实际应用检测,三个模型的识别准确率均在95%以上。

 

(2)智能终端违规识别模块

 

智能终端违规识别模块主要记录并识别人员在桌面终端的异常行为,基于OCR技术将人员桌面终端的录屏记录转化为文本内容进行存储,同时记录人员的键盘、鼠标等操作行为日志。将录屏数据以及操作日志数据相结合,利用自然语言处理、机器学习、深度学习技术,并结合浦发卡中心实际应用需求,覆盖敏感数据访问高危操作及异常操作两类行为场景。在敏感数据访问方面,采用命名实体识别(NER)技术和正则匹配法识别文本中的敏感数据及敏感数据类型;在异常操作行为方面,采用核密度估计算法(KDE)识别操作事件日志反映的异常操作行为和高危操作行为。终端违规识别逻辑如图3所示。

 

 

图3 终端违规识别逻辑

 

(3)智能联合检测模块

 

智能联合检测模块基于智能行为检测模块与智能终端违规识别模块的识别过程及结果数据进行联动识别检测,主要解决智能终端违规识别模块无法准确认定违规事件等问题。智能联合检测模型基于桌面终端以及员工行为数据,采用时间序列预测模型,对员工异常违规行为进行识别与判定,主要识别的敏感数据泄露核心场景包括“敏感数据访问+高保密网站、高保密文档”“拍照、伏案抄写+离开未锁屏”等。经实际验证测试,智能联合检测模块识别的综合准确率达95%以上。此外,智能联合检测模块建立了系统协同机制与功能扩展机制,未来可以快速地纳入新的监测项目和监测场景,有助于银行对合规要求的即时响应。

 

(4)AI数据处理模块

 

AI数据处理模块的数据处理速率可达到每秒800张图片,能够同时支持160台终端进行数据采集、分析,即每个终端每秒可采集、分析5张图像的数据,且不会产生数据堆积的风险,从而增强了智能动作行为识别审计系统整体的处理速度和准确率。

 

(5)智能告警与取证模块

 

智能告警与取证模块主要用于实现违规事件阻断、告警信息触达以及证据链留存与取证。该模块通过弹屏等方式对操作人员进行告警并阻断其违规行为,基于违规告警事件归集、整理相关证据链并进行留存,且支持后续一键调阅。智能告警与取证模块下的告警信息触达功能模块将在违规事件被识别后的第一时间将相关信息发送给相关负责人,便于其对违规事件进行及时处理。

 

三、智能动作行为识别审计系统

应用成效

 

1.增强银行数据安全防护能力

智能动作行为识别审计系统可迅速识别潜在的敏感数据访问或信息泄露行为,增强了银行在人员违规行为方面的防护能力。一旦系统检测到异常行为,会立即发出告警并采取必要措施,以屏幕录像和人员录像的形式记录和定位违规操作,以便银行进行后续的调查和取证。

 

2.降低信息安全合规风险

智能动作行为识别审计系统为浦发卡中心提供了便捷的人员监控工具,并可根据监测需要对系统进行功能拓展,以适应不断变化的监管环境,使浦发卡中心能够快速响应合规要求,提升信息安全审计工作的智能化和便捷性,减少传统管理模式中人工执行的工作量。

 

3.探索成熟技术的创新应用

智能动作行为识别审计系统将YOLO5算法等成熟的先进技术应用在内控管理领域,不仅降低了数据泄露的风险,而且有效提升了银行的信息安全防护水平和内部威胁防范能力。

 

本文刊于《中国金融电脑》2023年第12期

来源:中国金融电脑  
作者:铁锦程