1.計算機信息安全的方法，其特征是，它至少包括如下步驟：

1)對系統進行日志記錄；

2)判斷程序行為是否涉及到被保護文件，若是被保護文件，則根據保護規則禁止運行或限制運行，若不是被保護文件則檢測是否有試圖修改系統安全的敏感文件；

3)沒有試圖修改系統安全的敏感文件，繼續運行第2)條；

4)如果有試圖修改系統安全的敏感文件，啟動自動備份原始文件，進行第5)條的操作，如果沒有試圖修改系統安全的敏感文件，重新返回第2)條；

5)允許修改系統安全的敏感文件；

6)通過第1)條建立的運行日志記錄分析識別惡意程序；

7)是非法程序，刪除非法程序，進行第8)條的操作，不是非法程序重新返回第2)條；

8)根據該非法程序的運行軌跡進行恢復被該惡意程序修改的文件和注冊表的內容等，使系統恢復到該惡意程序(及其相關惡意程序)運行前的狀態，從而維護系統的正常運行；

9)返回第2)條。

2.根據權利要求1所述的計算機信息安全的方法，其特征是：所述的被保護文件是指根據用戶事先的指定的文件，指定的文件只能在指定的時間段內被指定的程序以指定的權限和指定的用戶身份以及指定的密碼訪問；從而確保用戶指定的文件不會被非法訪問。

3.根據權利要求1所述的計算機信息安全的方法，其特征是：所述的對系統進行日志記錄至少包括進程日志、網絡活動日志、注冊表變更日志(Unix/Linux下無)、文件變更和生成日志等。

4.根據權利要求1所述的計算機信息安全的方法，其特征是：所述的通過運行日志記錄分析識別惡意程序包括：

1)定時觸發分析和敏感事件觸發分析；所述的敏感事件是指對系統安全可能造成危害的修改注冊表，修改啟動項入口，啟動shell，增加或刪除文件事件；

2)分析算法是基于時間順序分析和進程序列分析，用于實現對各種危害的識別和危害過程的完整描述，作為后繼恢復的基礎。

5.根據權利要求1所述的計算機信息安全的方法，其特征是：所述的自動備份原始文件方式是把待修改的文件或注冊表內容進行適當變形后保存，同時記下引起備份的進程，時間，原始文件路徑和時間等，并進行備份大小控制，防止過度備份引起硬盤的緊張，乃至系統的崩潰。

6.根據權利要求1所述的計算機信息安全的方法，其特征是：所述的文件恢復包括覆蓋原始文件或注冊表，使系統還原為原始狀態。