在信息飞速发展的今天,大量企事业单位的机密信息最终以电子文件的形式存储起来。但电子文件易于被复制、修改的特点,导致机密信息存在泄密风险。其中黑客入侵、木马病毒、内部员工有意或者无意的泄密都会危及单位的数据安全。目前,国内外的大量研究主要集中在文件访问权限控制、文件访问审计等方面,而对终端机密信息的监控与防护则较为薄弱。如何从多维度防止终端电子文档的泄露,已经成为学术界和工业界关注的热点问题。本文以增加电子文档的保护维度、提高文件内容敏感信息的识别速度、提高机密文件存储的安全性为目标,提出了一种基于Windows内核的电子文档防泄密方案——GDLP防泄密方案。从防护维度上看GDLP防泄密方案主要包括如下方面:在文件内容敏感信息识别方面,采用本文设计的WM_GPU并行算法识别文件敏感内容;在操作行为审计方面,通过对各进程操作文件过程中产生的多个IRP的跟踪与分析提取固定的路径IRP序列,采用WM算法匹配路径IRP序列从而识别出与之对应的文件操作行为;在安全性存储方面,控制非可信进程对加密文件的访问,防止有意或无意的泄密;在电子文档隐藏的方面,与Windows文件系统无缝集成,被隐藏的文档隐蔽性好,隐藏过程不会产生额外的运算;在局域网接入控制方面,采用基于SDN的网络接入控制技术,以MAC地址作为白名单,阻止非法终端接入内网。本文主要工作如下:(1)在字符串多模式匹配方面,本文详细分析了 Wu-Manber算法,得出了该算法能被改造成并行算法的结论。并在此基础上提出了 WM_GPU并行算法。该算法对比Wu-Manber算法有较高的性能提升。(2)在存储安全方面,本文在Windows过滤驱动技术的基础上,提出了一种基于可信进程的透明加解密方案。对于可信进程的识别,采用进程对应的二进制映像文件的名称、大小、标准PE头作为前置条件,上述信息完全符合后才进行文件MD5校验。结合RSA和SM4加密算法,使用一文一密钥的方式,增强加密文件的安全性。(3)在电子文档隐藏方面,本文提出了一种基于Windows文件过滤驱动技术的文件保险柜方案。该方案对比一些研究者提出的基于NTFS或者FAT文件系统的文件隐藏技术方案,有着更好的适应性。(4)在文件操作行为审计方面,本文提出了一种基于文件操作路径IRP序列的识别模型,使用Wu-Manber算法识别文件的操作行为。这种方式不仅能解决诸如cad等大型复杂软件操作行为的审计的问题,而且对于未知应用程序操作行为的识别具有较好的可扩展性。(5)在局域网网络接入控制方面,本文提出了一种基于SDN的网络接入控制机制,在控制器层实现网络接入控制功能,阻止非法终端接入内网窃取机密信息。