技術領域

本發明涉及一種信息安全技術，特別是計算機信息安全的方法。

背景技術

現有的計算機安全產品門類繁多，但從設計方案上來說，大致分三類：殺毒軟件、防火墻和安全漏洞評估及安全服務。殺毒軟件主要防范和清除客戶機器硬盤上的病毒、木馬、蠕蟲文件和被感染的系統設置，恢復原始無毒狀態；防火墻主要通過設置網絡數據包過濾規則，過濾和阻斷網絡上不符合預先設定的規則的數據包，在網絡上實現了一個用戶可配置的過濾開關。安全漏洞評估及安全服務是通過人工的經驗和知識對某個安全對象(網絡或者單機)進行安全評估，提出安全報告，打補丁等。這三種方式分別從不同的側面對可能或業已對用戶造成的安全危害進行檢查，清除和防范，具有各自的作用和價值。但是，從用戶的整體安全出發來考慮，它們都是比較片面的、短效的和事后的，不足以給用戶營造一個放心的，穩定的安全環境。這是因為：

其一、殺毒軟件的設計出發點是認為，安全的威脅來自文件，故以文件為殺毒的對象。它的實際方案是對文件的病毒檢查和“手術式”的殺毒。其局限有三點：一、殺毒軟件是針對具體的病毒，它識別病毒的前提是先“認識”病毒，必須事前詳細知道具體病毒樣本，以便提取特征碼和構造的殺毒方法。但對于未能識別的病毒，則是“大門敞開”，“聽之任之”；二是它只是著眼于文件，著眼于具體的病毒，沒有對當前的網絡狀態和系統狀態歷史進行歷史的和全局的智能分析。這就使得病毒查殺總是滯后于病毒的出現，必須以用戶受到病毒攻擊為代價；三是殺毒軟件的“性能”很大程度上取決于病毒樣本收集的齊全和及時程度，以及用戶升級的及時程度。實際上這是很難得到保證的，結果是殺毒軟件的實際作用大打折扣。

其二、防火墻的性能比較片面，主要是對網絡包進行基于規則的過濾，以便阻斷不合規則的網絡傳輸，這固然可以防止某些“已知”的網絡行為，但從整個用戶的安全出發，顯然是不夠的，用戶機器上實際上若有什么危害程序，它則鞭長莫及了。

其三、安全漏洞評估及安全服務是一種“人工”行為，形同人體的“體檢”，充其量算是一種“抽查式”的手法罷了，根本不能嚴密地防范實際安全危害。

由于存在上述缺陷，近年來許多廠商宣稱開發了“主動防御”系統(或稱“行為分析”等，名稱很多，但思想基本相同，以下統稱為“主動防御”)，他們在一定程度上，能夠根據病毒或其它攻擊代碼的某些行為特征識別它們，并立即進行阻止，刪除文件等操作。這種方式的安全產品看似完美無缺，其實同樣存在不少問題。

首先是識別的準確性問題。由于“主動防御”設計思想上仍然是通過在病毒運行初期就識別和處理，沒有進行事后的恢復和清除，這就要求“主動防御”軟件必須在病毒等惡意代碼的運行不久就識別出來并處理，無法根據充分的證據來從容地判斷，所以它必須僅僅就“蛛絲馬跡”得出結論，這就不可避免地存在著較大程度的誤報。

其次是識別的完備性問題。同樣由于“主動防御”設計思想上仍然是“御敵于國門之外”，它的“取證”來不及等到完整和充分，這也使得它的“分析”因缺足夠的“證據”而有失完整，必然帶來一定的漏報、處理不全面、刪除不徹底等完整性問題。

其次是識別效率問題。根據“主動防御御敵于國門之外”的設計思想，“漏網之魚”不再處理，因此漏報是致命的。為盡量避免漏報，它就必須進行“密集分析”(反復進行頻繁的“分析”)，這顯然無法避免的帶來系統效率的開銷。

最后是用戶的安全性問題。前面已經分析了，根據“主動防御御敵于國門之外”的設計思想，“漏網之魚”會自由行動，這無疑帶來用戶的安全隱患。

發明內容

本發明的第一個目的是提供一種不需要事前詳細知道具體病毒樣本的計算機信息安全的方法。

本發明的第二個目的是提供一種安全性好、識別效率以及準確性高的計算機信息安全的方法。

本發明的第三個目的是提供一種確保用戶指定的文件不會被非法訪問的方法。

本發明的技術方案是設計一種計算機信息安全的方法，其特征是：它至少包括如下步驟：

1)對系統進行日志記錄；

2)判斷程序行為是否涉及到被保護文件，若是被保護文件，則根據保護規則禁止運行或限制運行，若不是被保護文件則檢測是否有試圖修改系統安全的敏感文件；

3)沒有試圖修改系統安全的敏感文件，繼續運行第2)條；

4)如果有試圖修改系統安全的敏感文件，啟動自動備份原始文件，進行第5)條的操作，如果沒有試圖修改系統安全的敏感文件，重新返回第2)條；

5)允許修改系統安全的敏感文件；

6)通過第1)條建立的運行日志記錄分析識別惡意程序；