【数据库安全】有了银行数据库的密码真的就能改银行卡的金额吗?

标签:数据安全

访客:129595  发表于:2012-10-22 10:07:21

小徐弱弱的问一句,对于银行的数据库来说,如有IT人员获得数据库密码,不经任何授权,当天改完马上取现,在未被发现前,将钱重新存入。

数据库或系统会不会留有痕迹?银行如何防范,有相关安全产品吗?

还是压根就没有技术实现条件?

评论(6)

您可以在评论框内@您的好友一起参与讨论!

    1. owen 从理论上,修改数据库是可行的。不过银行一定有办法规避这个风险的。数据库有数据库的审计系统,同时这个密码一般人得不到,或者在使用这个密码时,需要多人在场,等等。

      回复[0] 2012/10/22 10:39

    1. 牛文甫 以个人在中国银行工作的开发经验来看AS/400,OS/390技术上是完全可以的。但银行系统内部一个账户的信息不会在一个库里,至少有总账,分户账,业务上要把各个库表都同时更改,才不会被发现。在技术上,企业级服务器都有数据审计,更改的用户,时间,内容都会留下日志。日志需要服务器的管理员用户才能操作,一般来说,要有足够的权限,要熟悉银行的业务和用户数据库才能完成这个行为。但是有这样能力的人,还需要干这种事生活吗?除非是个很小的银行,用自己的小系统,技术高手还担心自己很没有前途,还有有要背负法律风险的承受力。。。。。

      回复[2] 2012/10/22 10:34

    1. 刘远舟 首先,像您提到的这种情况,在银行是不会出现的,如客户信息、交易日志等。一般需要对数据进行分析处理,在这个过程中需要对相关数据进行采集。在整个数据采集的过程中由于流程的不严格、不严谨经常出现以下风险:1.数据采集请求不确定性,问题发生后问责难; 2.数据采集流程不严格,容易造成重要信息泄露 3.操作过程不合规,不符合监管要求; 4.一旦出现类似数据泄露事件,银行品牌信誉度将大幅度下降 ......

      回复[1] 2012/10/22 10:28

    1. 黄选锋FIGE 数据库密码知道没用,看不到用户的密码,用户密码在数据库是加密存储。只有业务系统才可以查看到或者使用,但是业务系统就有log,所以这个问题基本上不会。

      回复[0] 2012/10/22 10:20

    1. 张岩 小徐呀,你现在不但斗得过小三、杀得了木马、翻得了墙!还准备进得了银行。你说的技术上完全可行,可财务制度上行不通,记录会转发财务的。会及时发现异常的,你当时就会被发现的。呵呵呵

      回复[1] 2012/10/22 10:20

    1. 黄剑刚 账户中金额的关键数据均经过防篡改设计,这在银行核心系统尤为重要,一旦修改,该条记录自动失效,除非加密算法也同时泄露。因此,数据库维护人员和开发人员在治理结构上分离很重要。

      回复[0] 2012/10/22 10:19

<--script type="text/javascript">BAIDU_CLB_fillSlot("927898");