随着计算机网络技术的飞速发展和企业对网络技术应用的不断增多，局域网内部安全问题已成为人们越来越关注的一个问题，而局域网内部安全问题的根本，是主机的文件及进程的安全问题。本文以局域网文件进程监控系统为基础，重点介绍了基于NT内核的文件监控系统的设计与实现问题。 主机的文件系统，一直是非法用户操纵主机的一个重要途径，因此对文件系统的监控，是实现系统安全的一个有效手段。对文件系统的监控可分为用户态监控和内核态监控两种。用户态的文件监控通常是通过钩挂WindowsAPI函数方式实现，它实现容易，但效率低，易被绕过；内核态的文件监控通常采用文件过滤驱动技术实现，其实施难度大，但具有可移植性好、对用户透明性高及效率高等优点，能对文件系统实行有效的监控。 文件过滤驱动技术就是在NT内核态截获I/O管理器向文件系统驱动路由的IRP，在IRP进入到文件系统驱动之前，执行用户自定义的例程，从而实现对文件系统添加各种新的扩展操作功能。本文建立自己的规则匹配模型，采用基于内核级别的文件过滤驱动技术，对截获的IRP进行规则匹配，对不同类型的文件操作实行不同的处理，或直接路由至下一层的文件系统驱动，或进行相应的操作后再路由至下一层，或放弃此文件操作，保护文件系统安全。 基于WindowsNT内核的文件过滤监控系统，通过详细分析研究WindowsNT系统的堆栈式可扩展内核驱动模型，从根本上解决了对文件系统的非法操作，为文件系统的安全问题提供了较好的解决方案。