1.一種虛擬機數據保護系統，包括虛擬機特權域Domain0和一個以上非特權域，其特征在于，包括：

位于所述特權域Domain0的:

安全策略模塊，用于根據安全策略設置安全規則，對用戶身份和角色進行認證；

數據標記模塊，用于根據所述安全策略對用戶數據進行標記；

網絡隔離模塊，用于對非法數據行為和流向進行控制和操作；

和

位于所述非特權域的：

數據審查模塊，用于關聯所有虛擬機內的資源，監控數據的操作行為和流向，將確定的非法數據行為和流向發送給所述網絡隔離模塊以便進行控制和操作。

2.根據權利要求1所述的系統，其特征在于，所述數據標記模塊將數據流打上標記或者唯一標識符。

3.根據權利要求2所述的系統，其特征在于，標記內容的編碼規則根據安全策略層級確定。

4.根據權利要求1所述的系統，其特征在于，所述網絡隔離模塊干擾對共享硬件資源的虛擬機的探測，對做出非法動作的虛擬機進行網絡隔離控制。

5.根據權利要求4所述的系統，其特征在于，所述網絡隔離控制包括中斷網絡訪問或關閉虛擬機；

或

干擾策略包括轉到沙箱運行命令、殺死命令線程、或反饋偽數據。

6.一種虛擬機數據保護方法，其特征在于，包括：

在虛擬機特權域Domain0內根據安全策略設置安全規則，對用戶身份和角色進行認證；

在所述虛擬機特權域Domain0根據所述安全策略對用戶數據進行標記；

在所述虛擬機特權域Domain0對非法數據行為和流向進行控制和操作；

以及，

在各個虛擬機的非特權域內關聯所有虛擬機內的資源，監控數據的操作行為和流向，將確定的非法數據行為和流向發送給所述虛擬機特權域Domain0以便進行控制和操作。

7.根據權利要求6所述的方法，其特征在于，所述根據所述安全策略對用戶數據進行標記包括：

根據所述安全策略將數據流打上標記或者唯一標識符，標記內容的編碼規則根據安全策略層級確定。

8.根據權利要求6所述的方法，其特征在于，所述對非法數據行為和流向進行控制和操作包括：

干擾對共享硬件資源的虛擬機的探測；

對做出非法動作的虛擬機進行網絡隔離控制。

9.根據權利要求8所述的方法，其特征在于。干擾策略包括轉到沙箱運行命令、殺死命令線程、或反饋偽數據。

10.根據權利要求8所述的方法，其特征在于，所述網絡隔離控制包括中斷網絡訪問或關閉虛擬機。