Как один из вариантов можно предложить тонкие клиенты - бездисковые станции, раз уж вы настолько не доверяете вашим пользователям. Там попросту не будет неподконтрольного вывода данных.
Удаленная загрузка ОС с терминальным клиентом(thinstation к примеру), все необходимое ПО работает на терминальном сервере.
Копирование не запрещено, однако все данные можно сохранять только в общую сетевую папку или перемещаемые рабочий стол\документы, находящиеся на одном файловом сервере.
Доступ к почте и файловым ресурсам сотрудники СБ имеют, в случае чего атата сделают.
Имхо, это логичнее чем пытаться реализовать вышеуказанное.