伴随着计算机网络技术的进步，企业、政府机关等单位信息化建设蓬勃发展，极大提高员工工作效率的同时，也带来了非常严峻的网络安全问题。计算机病毒、木马和黑客入侵时时威胁着企业内网信息安全，网络防入侵、信息防泄密日益成为内网管理员的工作主题。　　 目前，虽然内网安全防护领域已有网络防火墙、入侵检测系统和VLAN等技术来提高内网信息安全性，但这些技术方案仍无法满足内网中涉密主机分级管理和涉密信息强制访问控制的迫切需求。针对这一主题，本文在分析访问控制和网络数据包过滤技术的基础上，结合内网保密管理需求，提出了内网分级管理策略模型ICMP(Intranet Classification Management Policy)，基于ICMP模型设计并实现了内网分级管理系统ICMS(Intranet Classification Management System)，为内网涉密信息安全保护提供了一个新的解决方案。　　 本文主要贡献包括以下几点：　　 1)详细分析了安全内网中网络隔离问题现状，系统介绍了Windows包过滤技术和访问控制技术。　　 2)提出了内网分级管理策略模型ICMP，该策略模型结合了RBAC模型和BLP模型。同等级网络内部的访问控制上采用授权灵活、管理维护方便的RBAC模型；而在数据交换和信息流转控制方面采用了BLP模型；两者互相弥补，满足内网安全管理的实际需求。　　 3)给出了ICMS的总体框架设计，分析了ICMS应用需求和环境，制定了系统功能要求，设计了系统C/S架构模式和网络部署。详细阐述了ICMS三大组件--策略服务端、客户端和FTP服务代理端的软件框架。阐述了系统的策略管理和日志管理。　　 4)详细讨论了系统实现的关键技术。深入研究了ICMS中核心控制技术--NDIS-HOOK的实现方法，并详细分析了NDIS数据包过滤控制算法和驱动程序日志上传的方法。阐述了利用应用代理实现单向信息流控制的信息流转代理的设计思想和实现技术。