江融信收购恒生集团的事情,让一直以来只知道闷声发财的金融IT服务商的圈子炸开了锅。作为一个在行业里面待了三四年的软件架构设计师,确实从来没看到任何一家公司能够像恒生电子一样被关注和讨论。而这一切都因浙江融信是马云控股的公司。
那些看好或者唱衰的观点我不好做评论,但这场讨论中关于数据安全的讨论实在让人哭笑不得。比如有观点认为,借助恒生电子,马云未来就可以直接“窃取”银行交易、清算、运营和客户等数据,“抄掉银行后路”。
我可以很负责地说,说出这种观点的肯定是门外汉。一个金融IT系统服务商就想抄整个金融行业的后门,这也太小看金融业的内控水平了。
1、别小看银行的内控
毫不夸张地说,金融行业具备强大的安全保障能力,是具备最高安全级别的行业之一。特别是大型银行一般自身的IT开发力量都很强,比如工商银行的IT队伍估计在6000人到1万人左右,自己的开发和技术能力就比恒生电子也毫不逊色。
从技术角度分析,IT服务商要窃取客户数据信息完全不可能。如果把金融机构的IT系统比作保险箱,IT服务商就是生产保险箱的,而数据是放在保险箱里的珠宝。金融机构为这个保险箱设了密码,然后把它放在一个密室里。不知道密室地址、没有密码的IT服务商,怎么可能拿到保险箱里的珠宝?
根据国家和行业的要求,金融行业的相关机构都要建立完备的信息系统使用和管理制度,只有获得授权的用户才可能接触和使用IT系统。金融IT系统一般分为测试环境和生产环境。测试环境是IT服务商和金融机构用来进行各项临时功能测试,其中的数据都是模拟的、非真实的数据。而生产环境才是金融机构系统实际的运行环境。
同样是根据国家和行业的要求,测试环境和生产环境必须物理性地完全隔离,这就杜绝了测试环境和生产环境交叉访问的可能。并且,即使是IT服务商使用和访问测试环境,往往也