浙江融信收购恒生集团的事情，让一直以来只知道闷声发财的金融IT服务商的圈子炸开了锅。作为一个在行业里面待了三四年的软件架构设计师，确实从来没看到任何一家公司能够像恒生电子一样被关注和讨论。而这一切都因浙江融信是马云控股的公司。

　　那些看好或者唱衰的观点我不好做评论，但这场讨论中关于数据安全的讨论实在让人哭笑不得。比如有观点认为，借助恒生电子，马云未来就可以直接“窃取”银行交易、清算、运营和客户等数据，“抄掉银行后路”。

　　我可以很负责地说，说出这种观点的肯定是门外汉。一个金融IT系统服务商就想抄整个金融行业的后门，这也太小看金融业的内控水平了。

　　1、别小看银行的内控

　　毫不夸张地说，金融行业具备强大的安全保障能力，是具备最高安全级别的行业之一。特别是大型银行一般自身的IT开发力量都很强，比如工商银行的IT队伍估计在6000人到1万人左右，自己的开发和技术能力就比恒生电子也毫不逊色。

　　从技术角度分析，IT服务商要窃取客户数据信息完全不可能。如果把金融机构的IT系统比作保险箱，IT服务商就是生产保险箱的，而数据是放在保险箱里的珠宝。金融机构为这个保险箱设了密码，然后把它放在一个密室里。不知道密室地址、没有密码的IT服务商，怎么可能拿到保险箱里的珠宝？

　　根据国家和行业的要求，金融行业的相关机构都要建立完备的信息系统使用和管理制度，只有获得授权的用户才可能接触和使用IT系统。金融IT系统一般分为测试环境和生产环境。测试环境是IT服务商和金融机构用来进行各项临时功能测试，其中的数据都是模拟的、非真实的数据。而生产环境才是金融机构系统实际的运行环境。

　　同样是根据国家和行业的要求，测试环境和生产环境必须物理性地完全隔离，这就杜绝了测试环境和生产环境交叉访问的可能。并且，即使是IT服务商使用和访问测试环境，往往也需要获得客户的授权并全程接受客户的监督，所以IT服务商根本不可能通过测试环境获取客户真实数据。

　　想通过生产环境获得数据就更不可能了。金融机构IT系统的生产环境必须采用内外网隔离、多重身份认证、多层网络防攻击、系统访问监控等措施。任何人要获得生产环境上的信息，都必须经过层层授权，并且任何操作都会留痕。而金融机构一般不允许IT服务商的工作人员直接操作生产环境，也不允许其携带任何存储介质进入客户生产环境。换言之，系统数据的管理和监控完全由金融机构自己掌握，IT服务商根本没有机会获取。

　　如果客户仍旧对IT服务商存有警惕，它还可以提出更高的技术标准和要求，比如客户可以对IT服务商为自己开发的系统的代码提出严格的独占性需求。当然，这种独占需求的价格也会很高，比一般需求的价格大约能高出4、5倍。

　　从监管角度来说，目前行业内大部分的金融IT服务商，在技术管理上都要通过ISO9001(质量保证体系)、ISO20000(IT服务管理体系标准)、ISO27001(信息安全管理体系)、CMMI4(软件能力成熟度模型)等权威资质认证。通过这些认证意味着，这家公司向客户提供的是符合国家、行业等各项技术标准、安全标准的合格产品，恒生电子也不例外。

　　2、巨大的法律风险

　　之所以说IT服务商不敢窃取客户的数据，第二点就是严格的法律约束。客户数据、技术信息、营业信息都是客户商业秘密的范畴，窃取就是犯罪，《合同法》、《反不正当竞争法》、《刑法》里面都有相应的规定，这就不多说了。

　编辑：刘月