马云收购恒生，不能改变IT外包本质

　　江融信收购恒生集团的事情，让一直以来只知道闷声发财的金融IT服务商的圈子炸开了锅。作为一个在行业里面待了三四年的软件架构设计师，确实从来没看到任何一家公司能够像恒生电子一样被关注和讨论。而这一切都因浙江融信是马云控股的公司。

　　那些看好或者唱衰的观点我不好做评论，但这场讨论中关于数据安全的讨论实在让人哭笑不得。比如有观点认为，借助恒生电子，马云未来就可以直接“窃取”银行交易、清算、运营和客户等数据，“抄掉银行后路”。

　　我可以很负责地说，说出这种观点的肯定是门外汉。一个金融IT系统服务商就想抄整个金融行业的后门，这也太小看金融业的内控水平了。

　　1、别小看银行的内控

　　毫不夸张地说，金融行业具备强大的安全保障能力，是具备最高安全级别的行业之一。特别是大型银行一般自身的IT开发力量都很强，比如工商银行的IT队伍估计在6000人到1万人左右，自己的开发和技术能力就比恒生电子也毫不逊色。

　　从技术角度分析，IT服务商要窃取客户数据信息完全不可能。如果把金融机构的IT系统比作保险箱，IT服务商就是生产保险箱的，而数据是放在保险箱里的珠宝。金融机构为这个保险箱设了密码，然后把它放在一个密室里。不知道密室地址、没有密码的IT服务商，怎么可能拿到保险箱里的珠宝?

　　根据国家和行业的要求，金融行业的相关机构都要建立完备的信息系统使用和管理制度，只有获得授权的用户才可能接触和使用IT系统。金融IT系统一般分为测试环境和生产环境。测试环境是IT服务商和金融机构用来进行各项临时功能测试，其中的数据都是模拟的、非真实的数据。而生产环境才是金融机构系统实际的运行环境。

　　同样是根据国家和行业的要求，测试环境和生产环境必须物理性地完全隔离，这就杜绝了测试环境和生产环境交叉访问的可能。并且，即使是IT服务商使用和访问测试环境，往往也