随着信息化的程度越来越高，企业和政府机构内部信息系统中存有的敏感信息越来越多，而移动介质如U盘，移动硬盘等使用的普遍性，使得防止这些信息通过内部人员的泄漏成为一个急需解决的问题。本文在研究可信计算理论和各种访问控制模型的基础上，结合企业和政府机构的实际情况，提出了一个通过可信内核实现可信终端的解决方案，同时采用基于角色的强制访问控制模型，设计实现了一个移动介质安全控制系统。移动介质安全控制系统由USB KEY身份认证模块和文件过滤驱动两部分组成。USB KEY身份认证模块采用双因子身份认证控制用户登录，增强系统安全性。该模块通过替换Windows默认的GINA动态库实现。文件过滤驱动是控制系统的核心组成部分，通过将过滤驱动对象挂接到目标设备上，可以捕获用户所有的文件操作，并利用USB KEY提供的加解密功能对文件内容进行透明加解密，拷贝出来的信息都是以密文方式存储，在没有USB KEY的情况下，非授权用户无法阅读，从而达到了对移动介质的安全控制。最后，本文分析了移动介质安全控制系统的特点，它可以控制用户安全登录，与Windows操作系统无缝结合。同时也达到了安全控制的效果，不限制用户使用移动存储介质，符合企业和政府的实际需求，并且可以有效地防止信息泄漏事故的发生。