[发明专利]计算机信息安全的方法

说明书

技术领域

本发明涉及一种信息安全技术，特别是计算机信息安全的方法。

背景技术

现有的计算机安全产品门类繁多，但从设计方案上来说，大致分三类：杀毒软件、防火墙和安全漏洞评估及安全服务。杀毒软件主要防范和清除客户机器硬盘上的病毒、木马、蠕虫文件和被感染的系统设置，恢复原始无毒状态；防火墙主要通过设置网络数据包过滤规则，过滤和阻断网络上不符合预先设定的规则的数据包，在网络上实现了一个用户可配置的过滤开关。安全漏洞评估及安全服务是通过人工的经验和知识对某个安全对象(网络或者单机)进行安全评估，提出安全报告，打补丁等。这三种方式分别从不同的侧面对可能或业已对用户造成的安全危害进行检查，清除和防范，具有各自的作用和价值。但是，从用户的整体安全出发来考虑，它们都是比较片面的、短效的和事后的，不足以给用户营造一个放心的，稳定的安全环境。这是因为：

其一、杀毒软件的设计出发点是认为，安全的威胁来自文件，故以文件为杀毒的对象。它的实际方案是对文件的病毒检查和“手术式”的杀毒。其局限有三点：一、杀毒软件是针对具体的病毒，它识别病毒的前提是先“认识”病毒，必须事前详细知道具体病毒样本，以便提取特征码和构造的杀毒方法。但对于未能识别的病毒，则是“大门敞开”，“听之任之”；二是它只是着眼于文件，着眼于具体的病毒，没有对当前的网络状态和系统状态历史进行历史的和全局的智能分析。这就使得病毒查杀总是滞后于病毒的出现，必须以用户受到病毒攻击为代价；三是杀毒软件的“性能”很大程度上取决于病毒样本收集的齐全和及时程度，以及用户升级的及时程度。实际上这是很难得到保证的，结果是杀毒软件的实际作用大打折扣。

其二、防火墙的性能比较片面，主要是对网络包进行基于规则的过滤，以便阻断不合规则的网络传输，这固然可以防止某些“已知”的网络行为，但从整个用户的安全出发，显然是不够的，用户机器上实际上若有什么危害程序，它则鞭长莫及了。

其三、安全漏洞评估及安全服务是一种“人工”行为，形同人体的“体检”，充其量算是一种“抽查式”的手法罢了，根本不能严密地防范实际安全危害。

由于存在上述缺陷，近年来许多厂商宣称开发了“主动防御”系统(或称“行为分析”等，名称很多，但思想基本相同，以下统称为“主动防御”)，他们在一定程度上，能够根据病毒或其它攻击代码的某些行为特征识别它们，并立即进行阻止，删除文件等操作。这种方式的安全产品看似完美无缺，其实同样存在不少问题。

首先是识别的准确性问题。由于“主动防御”设计思想上仍然是通过在病毒运行初期就识别和处理，没有进行事后的恢复和清除，这就要求“主动防御”软件必须在病毒等恶意代码的运行不久就识别出来并处理，无法根据充分的证据来从容地判断，所以它必须仅仅就“蛛丝马迹”得出结论，这就不可避免地存在着较大程度的误报。

其次是识别的完备性问题。同样由于“主动防御”设计思想上仍然是“御敌于国门之外”，它的“取证”来不及等到完整和充分，这也使得它的“分析”因缺足够的“证据”而有失完整，必然带来一定的漏报、处理不全面、删除不彻底等完整性问题。

其次是识别效率问题。根据“主动防御御敌于国门之外”的设计思想，“漏网之鱼”不再处理，因此漏报是致命的。为尽量避免漏报，它就必须进行“密集分析”(反复进行频繁的“分析”)，这显然无法避免的带来系统效率的开销。

最后是用户的安全性问题。前面已经分析了，根据“主动防御御敌于国门之外”的设计思想，“漏网之鱼”会自由行动，这无疑带来用户的安全隐患。

发明内容

本发明的第一个目的是提供一种不需要事前详细知道具体病毒样本的计算机信息安全的方法。

本发明的第二个目的是提供一种安全性好、识别效率以及准确性高的计算机信息安全的方法。

本发明的第三个目的是提供一种确保用户指定的文件不会被非法访问的方法。

本发明的技术方案是设计一种计算机信息安全的方法，其特征是：它至少包括如下步骤：

1)对系统进行日志记录；

2)判断程序行为是否涉及到被保护文件，若是被保护文件，则根据保护规则禁止运行或限制运行，若不是被保护文件则检测是否有试图修改系统安全的敏感文件；

3)没有试图修改系统安全的敏感文件，继续运行第2)条；

4)如果有试图修改系统安全的敏感文件，启动自动备份原始文件，进行第5)条的操作，如果没有试图修改系统安全的敏感文件，重新返回第2)条；

5)允许修改系统安全的敏感文件；

6)通过第1)条建立的运行日志记录分析识别恶意程序；