中国人在互联网，尤其移动互联网上流通的资产已经越来越多。

市场分析机构易观智库针对今年一季度的统计数据显示，中国包括电子商务、航空票务、火车网上订票、旅游、境外消费、互联网金融、线上游戏增值等网络交易总规模超过10万亿元人民币。

支付宝、银联支付和财付通等第三方移动支付规模超过2.8万亿元人民币，环比增长5.81%；P2P网贷市场交易规模超1000亿元人民币，环比增长34.5%。中国移动支付和P2P网贷市场仍保持了相当高的活跃度。

传统银行业务在互联网和手机端的交易量也十分可观。一季度，中国手机银行客户端交易规模高达12万亿元人民币；网上银行客户端交易规模达到353.5万亿元。而且，手机银行的交易规模还在以两位数以上速度攀升。

这一连串数据显示着，互联网尤其是移动互联网上流通的中国资产已经十分庞大。以网络交易为例，根据国家统计局公布的数据显示，今年1月－5月，我国社会消费品零售总额为11.8万亿元，月均2.36万亿元；而实物商品网上零售额总额为1.11万亿元，并迅速向大城市以外的二三四线城市蔓延扩张。

移动支付手段打通了移动互联网商业世界，从而形成了商业闭环。但由于成长速度太快、规模太大，中国互联网公司对移动金融安全的重视程度并未跟上业务规模发展的速度。

传统金融行业几乎是全世界信息安全技术最发达、网络架构最严密的行业，其网络架构搭建理念就好比护城河+多层堡垒，对用户数据的存放和管理有相当成熟的行业标准和规范。即便如此，其IT系统仍有缺陷，多个券商系统宕机就是最好的表现。

中信证券股份有限公司信息技术中心行政负责人董事总经理张益民接受《财经》记者采访时称，从业务上看，国内投行以前主要是以场内业务为主，是牌照业务，造成了各家业务趋同性比较大，必然导致IT系统的发挥余地较小，同质化严重；而国外投行在场外业务上的创新性百花齐放，导致对IT的个性化、创新性要求非常多，这种情况下，国外投行纷纷发展自己的IT开发队伍，以适应业务快速发展、快速创新的需求。他表示，最近几年，中国金融企业才开始自建IT系统以应对安全需求。

诞生于移动互联网、云计算变革之下的互联网金融公司兼具金融和互联网的双重身份，其安全系统更是脆弱。

一位来自传统银行的互联网金融公司高层人士入职后第一件事情就是深度研究其网络架构，并多次在公司高层会议上强调把云和服务器放在第三方平台是极不安全的，力荐公司高层应向传统银行学习，自建服务器。该公司另一高层向《财经》记者坦言，对于一个刚刚起步的创业公司来说，这是不可能的，“现在能做的是在安全和效率中间平衡折中，到了一定规模之后，才有可能加强安全”。互联网金融公司普遍无力在网络安全上投资重金。

为P2P公司搭建IT系统服务的技术服务提供商中科柏诚董事长王德敬告诉《财经》记者，出于成本考量，绝大部分互联网金融公司偏爱成本更低的公有云平台，其数据普遍被暴露在云环境之中，所有的数据备份和安全防护基本依赖于云平台公司，这与传统金融行业利用封闭的物理设备实现护城河一般的严密数据保护不可同日而语。

一位资深IT技术人士为《财经》记者算了一笔账：以一个只需要一台最初级服务器和基本网络架构的初创互联网公司为例，自己部署服务器成本大约为每月3000元左右，但如果使用阿里云的公有云服务平台，每月只需百元左右。

这与银行在IT系统上的巨额投资几乎是天地之别。传统银行在IT上的投入巨大，一般是其年度利润的10%到15%，只有这样，才能保证IT系统能支撑庞大业务和用户的发展。

同样受限于成本，在公有云平台提供基本的灾备手段之外，目前绝大部分P2P平台几乎都没有基本的灾备系统。

不规范的业务上线操作也进一步放大了安全缺陷。多位互联网金融从业人士告诉《财经》记者，市场竞争异常激烈，业务部门非常着急要上线一些业务的时候，往往会打破规范，在整个上线流程没有建立，或者还没有完成开发、测试的时候，业务就直接发布了。互联网金融企业的管理层其实十分清楚存在的安全缺陷。这些安全缺陷就像达摩克利斯之剑，时刻存在危险。

小微互联网金融公司在黑客的攻击面前防护能力普遍弱小，容易造成恐慌和非正常死亡。统计数据显示，在2013年和2014年，有超过100家网贷平台因黑客的攻击而宣布关门。绝大部分网贷平台遭遇过黑客攻击，被迫关闭服务器、暂时停止服务。

“金融风险的一个特点是滞后性，早期跑得越快，系统搭得就越浅，倒的机会也越大。”大数据风控公司神州融联合创始人黄海珈说。

最受安全制约的互联网金融行业尚且如此，其他中小型垂直互联网创业公司的安全意识和安全架构部署更是漏洞百出。互联网公司普遍不具备安全意识，大部分小公司很少主动了解平台的安全机制，更加看重平台的迁移能力和系统运行能力。一些互联网IT安全人士也均认为，除了BAT，中国绝大部分互联网公司的网络架构均不甚完善，安全漏洞和风险巨大。　

如果出现问题，灾备是唯一的挽救办法。但与早已被标准化的传统行业灾备方案相比，互联网公司分类太多，情况复杂，难以形成统一的行业标准。

IT灾难恢复公司万国数据副总裁汪琪告诉《财经》记者，灾备不出实际效益，一千块钱的投入可能只做一块钱的事情，所以绝大部分互联网公司只做最基础的灾备措施。

汪琪认为，互联网行业很难制定一个统一的灾备标准，但根据其业务属性，可以参考传统行业的灾备标准部署灾备方案，亟须改变“唯成本论”的现状。

爱加密（www.ijiami.cn）是国内顶尖的移动信息安全体系服务商，专注于为移动领域的金融、游戏、企业级应用及移动互联网开发者提供安全可靠的移动应用保护解决方案，服务范围覆盖Andriod和iOS两大主流智能手机系统。