传统信息安全技术重点关注来自外部攻击的安全威胁,忽视了组织内部的信息泄漏。事实上大多数的信息泄漏事件都是由组织内部人员所引起的,而移动存储设备是信息泄漏最重要的载体,在可能通过移动存储设备泄漏的各种数据中,由于电子文档承载了绝大多数重要信息,因此防止电子文档通过移动存储设备泄漏就成为一个亟待解决的信息安全问题。为了准确、高效的监控组织内部电子文档的操作和流转,防止其中的敏感信息通过移动存储设备泄漏,本文首先通过对组织内部人员在文档信息泄露中的动机和行为模式进行分析,明确了文档敏感信息防泄漏的安全需求;提出了一种新的基于内容的文档信息防泄漏方案,并说明该方案的部署和实现方式;在这个方案中,使用基于关键字匹配的文本识别技术和基于感知哈希的多媒体内容识别技术来实现文档敏感信息的监视,并对经典文本匹配算法进行了测试,综合效率,准确性等指标,选择了WM算法作为基础,对其进行细化,通过增加对文本信息的预处理环节,改善了匹配性能,同时分析测试了几种有代表性的感知哈希算法,明确了文档信息防泄漏对感知哈希算法的性能要求;然后提出了基于内容敏感度的文档信息分级保护方法,并设计了一种简单有效的文档内容敏感度计算方法;最后,本文通过对Windows内核态各个驱动层次的分析和比较,用MiniFilter模型设计了文档敏感信息实时过滤驱动内核。并以此为基础,研究了文档敏感信息防泄漏系统中移动存储设备识别与控制、信息分级防护驱动、用户管理模块、监控端系统自身的安全防护措施等关键模块的具体技术和实现方法。本文提出的基于内容的文档信息防泄漏方案综合了文本多模式匹配、多媒体感知哈希和基于内容敏感度的信息分级保护技术,以内核态过滤驱动为主要实现手段,实现了内容识别、分级管理、实时监控、日志审计等功能。由于方案建立在对写入移动存储设备的文档内容进行识别的基础上,可以提供细粒度的检测能力,同时实现对文本和多媒体信息的内容检测。而且,基于内容敏感度的文档信息分级保护方法有效地提高了防泄漏监控中关于文档安全属性判定的准确率,减少了误判的可能。最后,基于内核态过滤驱动的实现方式使得文档信息防泄漏安全功能的实现对用户完全透明,减少了对用户正常工作的干扰,增加了系统的可用性。