Gartner 的最新统计，75% 的攻击行为已经由网络层转移到了应用层，在最近美国计算机安全协会 (CSI)/美国联邦调查局 (FBI) 的一项研究中也表明：在接受调查的公司中有 52% 的公司的系统遭受过外部入侵，但其中有 98% 的公司都是装有防火墙的。

代表黑客攻击最高水平的当属 APT(Advanced Persistent Threat 高级持续性威胁)攻击，其是一种利用 0day 等先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。A 表示高级，是指在资源和时间商的有非常多的充足，可能包括漏洞，用到的木马，渗透用的定制化工具。P 体现在持续性，T 是有针对性威胁。

0day 漏洞之所以可怕，是因为黑客已经掌握而官方还没有相关补丁，但最可怕的不是漏洞存在的先天性，而是 0day 的不可预知性，拥有 0day 的黑客完全可以犹如无人之境在目标系统中肆意窥视破坏。只有早于黑客发现漏洞，或者在黑客展开 0day 攻击之前打上补丁，才能避免安全事故的发生。在尚未升级漏洞补丁之前，包含 0day 漏洞的网站都处在「裸奔」状态。

APT 攻击是隐藏性的，专门针对的是核心数据或情报，比如阿里云在金融和政府领域应用较多，最近收购的瀚海源，也是为了更多的防范 APT 攻击。

　　判断云服务是否安全的潜规则

今年 UPYUN 也曾出现了因为数据中心光纤被挖断导致的服务中断，受到影响的客户都按照 150 倍的赔偿，基数是前一天的消费额度。而这次青云事故对用户的赔付也超过百万。

但实际上，云服务终端对用户的赔付也只是后话，用户真正的损失很难有一个具体的量化指标。因此在选择云服务商的具体指标上就要更加仔细。

对于用户而言，哪些因素是判断一家云服务商安全的重点呢?UPYUNCTO 黄慧攀告诉我了一些可以评判的「潜规则」。

第一通过业务成熟度，判断某一类云厂商所提供的服务的能力。 在签订云厂商的时候，要考量合同和业绩，SLA 保障资质是关注重点，SLA 是 Service-Level Agreement 的缩写，意思是服务等级协议。是关于网络服务供应商和客户间的一份合同，其中定义了服务类型、服务质量和客户付款等术语。比如保障服务中断时间不能超过多少，在线达到 99.9%，几个 9 的稳定性;一年内问题累计时长不能超过多少。

其次，用户在选择服务商的地方，用户对自己的技术部署也要有考量，不能全部依赖云服务商。 有条件的用户，在云上要自己设计灾备制，避免单点服务。可以选择一个服务商不同地区的机房，或者同时采用多家云服务。

在比较具体的一些做法上，可以优先考虑规模，一般云服务商的规模越大保障能力越强。

还可以连续一个星期在各个云上做实验，跑压力测试，如果云服务比较稳定，波动较少是比较值得使用的。目前云服务厂商会出现一些超卖云主机的行为，超卖，简单解释就是云主机实际只能支持100台虚拟机,但云平台卖了120台。如果波动较少，意味着超卖的可能性降低。

在总结了这些技术、机制以及攻击带来了云在服务上的安全隐患，另外一个值得注意的则是数据安全问题。

在美国，数据泄漏要云服务商承担很高昂的代价，因此没有公司会这么明目张胆地买卖数据。数据泄露的另外原因则是云服务商内部员工操作导致。

云上的用户都是弱势群体，很多数据泄露都是在用户不知情的情况下被泄漏出去。尽管公有云厂商会承诺存放在其上的数据一定是加密的，但现实是公有云厂商可以直接把用户的数据拷走。

「数据在云平台上的隔离其实只是一个说法。用户对数据的所有权和管理权是分离的。数据是用户的，但你却管不着，除非那些非常核心的数据，公有云服务商为你加密，但依照现在的技术，全部数据加密是很难做到的。」 UPYUNCTO 黄慧攀道出行业的真实情况。

「数据技术还无法加密到只有客户能看见，对服务商和运营商是黑盒子。数据只给客户看，但要让数据在云上跑起来，就必须检索查询运行，这是个悖论。」

(责任编辑：安博涛)