任何一个惊悚电影的爱好者都会告诉你，真正的恐怖在于你无法预计什么时候，怎么样的灾难会发生。对云(如阿里云)数据安全来说，也是一样的。 IT行业在保护企业内部数据安全方面，已有几十年的经验了。 云计算出现的时间才不到10年， 基本上没有人具备10年以上的管理云数据的经验。行业对云数据安全的经验还太少。

　　这里列出的三大威胁， 就是很多IT管理人员所忽视的：

　　1、黑天鹅

　　黑天鹅的寓意来自电影《黑天鹅》，指的是那些完全不可能预测而实际确实发生的事件。前不久，连线杂志的记者Mat Honan的账户被黑，黑客通过苹果和亚马逊的系统，把Honan的iCloud内容全部删除，顺带把他的MacBook的存储内容也全部清空。(见本站的详细报道)。亚马逊和苹果的系统，单就他们各自系统的防范来说，是没有问题的。然而，通过综合这两个系统所泄露的信息，黑客就可以控制Honan的苹果账号。这个事件 如果按照宽泛的定义，可以算是一个黑天鹅事件。 没有人会在系统设计之初，能预测到这样的攻击(当然黑客除外)。

　　由于云应用的日益复杂， 以及行业还缺乏关于云安全的统一的标准。 这样的黑天鹅事件在将来还很有可能会发生。 这就是那种恐怖电影里讲到的， 你不知道会怎么发生的危险。

　　防范办法： 进行独立于云服务账号之外的单独云数据备份。 这样就会在整个云服务都出现无法恢复的灾难时， 还要另外一套数据备份可以用来恢复数据。

　　总之， 云计算或者说SaaS对于IT管理来说， 是一个新的课题。 它能在某些方面提高安全性(比如提供硬件冗余方面)， 但是， 云安全依然是一个需要更多流程设计以及需要更多最佳实践的领域。 IT管理人员需要事先做好计划， 以防止潜在风险和成本的出现。

　　2、僵尸账号：

　　僵尸账号指那些已无人使用，但是没有取消或者删除的账号。比如一个销售人员离职了。他的账号可能就不再使用了。但是，IT管理人员只是把他的账户冻结不再使用 而没有真正删除这个账号。这样的僵尸账号的危险性在于，这样的账号一旦被破解， 由于已经没人关注这个账号了。 所以恶意行为可能发生了很久还不会被注意到。

　　有的IT管理人员可能会觉得，因为云计算很多都是按照用户许可证方式收费，所以当云计算服务商寄账单来的时候自然就会看到。然而，为了适用企业年度预算的要求，很多云计算服务商的收费是一年一次的。这样一来，一个僵尸账号就可能会在系统里呆12个月才会被发现。

　　如何防范：防范僵尸账号的方式，就是当一个账号不再使用后，要立即删除，这样就可以在它可能被破解前消除隐患

　　3、恶意用户：

　　对任何应用来说，无论是本地应用还是云应用，用户错误操作在所有导致数据丢失的原因中总是高居榜首。原因就是，作为软件来说很难区别合法和非法的命令比如说点击鼠标右键，如果不留神手一抖 就可能把Copy点成了Delete。据统计，类似这样的用户误操作占数据损失的三分之一到三分之二之多。但是，最恐怖的还不是这些，真正恐怖的是用户故意进行的操作。

　　对云计算来说，任何合法的用户都可以进入系统进行一定的操作。而当有一个对公司心怀不满的用户的时候。他能造成的破坏力比僵尸账号被破解的危害还要大。因为，他知道那些有价值的数据在什么地方。

　　如何防范：不要认为任何合法用户总是会进行合法行为。有很多云服务提供分层的授权访问机制，永远不要给用户超过他们数据需要的权限。

　　原文链接：http://www.ctocio.com/ccnews/10294.html