重要数据和文件的保护一直是企业安全防护的重点。调查显示,由于经济利益的驱使,企业机构经常遭受病毒、木马、恶意软件的攻击,同时来自企业内部的攻击也日益增加,由此导致的敏感数据泄漏问题正变得越发严重,数据泄漏事件一旦发生会给企业造成了巨大的损失。数据泄漏防护是计算机安全研究中的一个重要分支,工业界和学术界已经有了一些研究工作和成果。如通过防火墙、入侵检测系统和反病毒技术保护局域网和终端主机的安全；通过文件加密保护文件的安全等,然而这些安全技术都存在着某些缺点。本文对企业数据泄漏防护进行研究,主要工作如下：1.从数据泄漏的基本概念出发,针对来自内部和外部的攻击,总结常见的数据泄漏场景。介绍数据泄漏防护领域重要的安全防护技术,并分析防护技术存在的缺点。2.提出CBDPsec原型系统,基于OpenStack开源项目在企业内部搭建一个私有云平台,数据的存储、处理和保护都在云平台中完成。基于瘦客户端思想,员工利用远程控制工具VNC连入云平台处理敏感文件。通过安全机制确保敏感文件不会离开私有云平台。3.结合可信平台模块TPM改进VNC身份认证。利用TPM模块提供的硬件安全机制,实现终端平台和用户身份的双重认证,以禁止内部员工非法连接其他虚拟机,造成安全隐患。4.为了保护CBDPsec云平台文件的安全,实现一个内核级的文件监控与保护模块,部署在云平台的虚拟机中。保护模块的主体是位于内核层的过滤驱动,能对文件打开、修改、删除等操作提供细粒度的保护,并记录重要文件的监控日志。实验结果表明本模块能成功保护重要文件,同时性能损失较小。