与黑客竞争　操作系统提前应对0Day漏洞

　　拥有0-Day漏洞利用代码的攻击者成为了当今企业级网络安全最大的威胁。为了尽量不给0-Day漏洞攻击者们以可乘之机，许多厂商开始研究操作系统中0-Day漏洞的防护机制。

　　目前的操作系统设计时考虑到了分级保护机制。例如Windows操作系统的内核是零级（Ring 0），最外面的用户级是三级（Ring 3）。这种分级机制减少了操作系统出错的可能性，提高了操作系统的稳定性，也在一定程度上保证了操作系统的安全性。

　　应用程序运行在最不受信任的级别（Ring 3，又被成为用户态），而操作系统的系统程序执行在受信任程度最高的零级（Ring 0，又被成为内核态）。操作系统可以在不同的级别进行资源分配，不同级别之间的访问受到控制。举个例子来说，Windows用户要访问系统的资源，只能通过Windows提供的API来进行。有了这种机制，任何一个用户要访问系统的资源，都要得到操作系统的允许。

　　微软和其它的许多安全厂商都投入了大量的时间和精力，用来研发增强的安全措施，以提高操作系统的安全性。他们大都把注意力放在了核心态（Ring 0）上，即监控用户态的应用程序对系统资源的请求。例如，阻止对内存中关键结构的写操作；分析应用程序的行为来确保一个字处理程序不会突然向外发送敏感数据等。

　　与此同时，许多基于主机的安全产品能够保护用户的应用程序免受安全漏洞带来的攻击。例如，标记堆内存和栈内存为不可执行的，或者内存分配的返回地址随机化等，都可以增加漏洞利用的难度，甚至使得缓冲区溢出漏洞的利用变成不可能。

　　另一种基于主机的安全保护措施，通常被称为行为分析，即截获和分析应用程序发起的各种系统调用请求。作为这种方案的改进，另一种方法是把应用程序加载到虚拟机中，这样可以在应用程序执行前，检测和分析每一条指令而不是系统调用，这种策略检测得更加彻底。

　　尽管基于主机的保护机制在企业级网络中难于配置和使用，但是目前这种方案是应付零Day漏洞攻击的最好的方法。使用了这种保护机制的企业级网络仍然面临的安全风险，因为这些安全产品对零Day漏洞的防御只停留在用户态而不是内核态。技术出色的黑客仍然可以通过利用操作系统内核的漏洞入侵企业级网络。

　　任何一种声称能够防护应用程序免受0-Day漏洞攻击的安全产品，都必须把他们的防护措施深入到操作系统的内核级别。

　　目前市场上的安全产品都无法保证操作系统不受安全漏洞的攻击。近来随着虚拟机技术的成熟和硬件技术的发展，可以考虑把下一代安全技术做在虚拟机里，再通过创建一个受信的虚拟机监控程序，可以提高安全监测的可见性。

　　在虚拟机中开发安全防护模块，可以保证一个或者多个服务器共同工作时，都免受安全漏洞的攻击。使用虚拟机后，安全软件工作在操作系统的下层，可以彻底的检测出操作系统的安全漏洞。

　　像这样的一种解决方案，可以提供比目前的安全产品更高的保护效果。运行着服务器的操作系统中也不必再安装安全软件，只要让该操作系统在装有安全防护模块的虚拟机下运行即可。这种方法不仅能够防护企业级服务器，普通用户同样可以使用它。