基于合同数据的安全管理系统、存储介质及电子终端的制作方法

本公开涉及网络安全技术领域，具体涉及一种基于合同数据的安全管理系统、一种存储介质以及一种电子终端。

背景技术：

合同作为商业活动中的重要组成部分，对企业来说具有重要的作用，也是企业商业秘密的重要组成部分，因此需要严格的保密。由于企业内部存在不同的合同审核制度，而采用纸质合同在各部门之间传阅、审批、保存都并不方便，且费时费力；并且对于合同内容的保密也得不到有效的保证。

需要说明的是，在上述背景技术部分公开的信息仅用于加强对本公开的背景的理解，因此可以包括不构成对本领域普通技术人员已知的现有技术的信息。

技术实现要素：

本公开的目的在于提供一种基于合同数据的安全管理系统、一种存储介质以及一种电子终端，使合同数据在审批过程中能够有效的保密，进而至少在一定程度上克服由于相关技术的限制和缺陷而导致的一个或者多个问题。

本公开的其他特性和优点将通过下面的详细描述变得显然，或部分地通过本公开的实践而习得。

根据本公开的第一方面，提供一种基于合同数据的安全管理系统，包括：

权限管理模块，用于分配用户权限以及权限内容；

敏感数据检测模块，用于检测合同数据中是否存在敏感词汇，并在检测存在敏感词汇时对该合同进行标记；

加密处理模块，用于对所述合同数据按预设规则进行加密；

安全策略管理模块，用于为用户配置网络安全策略；

存储模块，用于对合同数据进行加密并存储。

在本公开的一种示例性实施例中，所述安全策略管理模块包括：

防火墙配置模块，用于为客户端设置防火墙及配置防火墙参数；

地址管理模块，用于管理各客户端的IP地址及域名。

在本公开的一种示例性实施例中，所述安全策略管理模块包括：

监控模块，用于对用户及用户间的传输信道进行实时监控。

在本公开的一种示例性实施例中，所述加密处理模块包括：

数据加密模块，用于对待发送或接收的合同数据的数据包进行加密或解密处理；

传输加密模块，用于对数据包的传输信道进行加密处理。

在本公开的一种示例性实施例中，所述系统还包括：

数据验证模块，用于检验待发送或已接收的合同数据是否存在数据缺陷；并在检测存在数据缺陷时生成一提示信息。

在本公开的一种示例性实施例中，所述系统还包括：

自主访问控制模块，用于用户主动分配合同数据的权限信息。

在本公开的一种示例性实施例中，所述系统还包括：

审计模块，用于提供一审计接口，检测所述安全管理系统的性能指标。

在本公开的一种示例性实施例中，所述系统还包括：

数据备份模块，用于对加密的合同数据、传输数据存储至预设的备份数据库。

根据本公开的第二方面，提供一种存储介质，其上存储有计算机程序，所述程序被处理器执行时实现上述的基于合同数据的安全管理系统。

根据本公开的第三方面，提供一种电子终端，包括：

处理器；以及

存储器，用于存储所述处理器的可执行指令；

其中，所述处理器配置为执行上述的基于合同数据的安全管理系统的可执行指令。

本公开的一种实施例所提供的基于合同数据的安全管理系统中，通过利用权限管理模块对用户权限进行分配和管理；利用加密处理模块对合同数据进行加密；并利用安全策略模块为不同的用户配置不同等级的安全策略，从而实现在传输和查阅过程中对合同数据进行保密，保证数据的安全性。并且，通过设置敏感数据检测模块，可以对特殊合同或重要合同生成标记信息，便于用户处理，从而避免合同处理过程中的错误。

应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，并不能限制本公开。

附图说明

此处的附图被并入说明书中并构成本说明书的一部分，示出了符合本公开的实施例，并与说明书一起用于解释本公开的原理。显而易见地，下面描述中的附图仅仅是本公开的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1示意性示出本公开示例性实施例中一种基于合同数据的安全管理系统的组成示意图；

图2示意性示出本公开示例性实施例中一种基于合同数据的安全管理系统的应用场景示意图；

图3示意性示出本公开示例性实施例中一种安全策略管理模块的组成示意图；

图4示意性示出本公开示例性实施例中一种基于合同数据的安全管理系统的组成示意图；

图5示意性示出本公开示例性实施例中一种基于合同数据的安全管理系统的另一种示意图；

图6示意性示出本公开示例性实施例中一种基于合同数据的安全管理系统的再一种示意图。

具体实施方式

现在将参考附图更全面地描述示例实施方式。然而，示例实施方式能够以多种形式实施，且不应被理解为限于在此阐述的范例；相反，提供这些实施方式使得本公开将更加全面和完整，并将示例实施方式的构思全面地传达给本领域的技术人员。所描述的特征、结构或特性可以以任何合适的方式结合在一个或更多实施方式中。

此外，附图仅为本公开的示意性图解，并非一定是按比例绘制。图中相同的附图标记表示相同或类似的部分，因而将省略对它们的重复描述。附图中所示的一些方框图是功能实体，不一定必须与物理或逻辑上独立的实体相对应。可以采用软件形式来实现这些功能实体，或在一个或多个硬件模块或集成电路中实现这些功能实体，或在不同网络和/或处理器装置和/或微控制器装置中实现这些功能实体。

本示例实施方式中首先提供了一种基于合同数据的安全管理系统，可以应用于企业对合同的电子管理。参考图1中所示，上述的基于合同数据的安全管理系统100可以包括：权限管理模块101、敏感数据检测模块102、加密处理模块103、安全策略管理模块104以及存储模块105。其中，

所述权限管理模块101可以用于分配用户权限以及权限内容。

所述敏感数据检测模块102可以用于检测合同数据中是否存在敏感词汇，并在检测存在敏感词汇时对该合同进行标记。

所述加密处理模块103可以用于对所述合同数据按预设规则进行加密。

所述安全策略管理模块104可以用于为用户配置网络安全策略。

所述存储模块105可以用于对合同数据进行加密并存储。

本示例实施方式所提供的基于合同数据的安全管理系统中，通过利用权限管理模块对用户权限进行分配和管理；利用加密处理模块对合同数据进行加密；并利用安全策略模块为不同的用户配置不同等级的安全策略，从而实现在传输和查阅过程中对合同数据进行保密，保证数据的安全性。并且，通过设置敏感数据检测模块，可以对特殊合同或重要合同生成标记信息，便于用户处理，从而避免合同处理过程中的错误。

下面，将结合附图及实施例对本示例实施方式中的基于合同数据的安全管理系统进行更详细的说明。

参考图2所示应用场景，该系统可以运行在服务器端201。上述的权限管理模块101可以为用户分配权限和配置权限内容。例如，可以为法务人员的用户及客户端分配全部合同数据的检索、阅读及修改等操作的权限。为一般人员的用户设定本用户的生成的合同数据的检索、阅读和修改的权限。

对于用户生成的具体合同，在传输或存储的过程中，可以利用敏感数据检测模块102对合同的具体内容进行检索，判断其是否存在敏感数据。举例而言，可以设置一敏感数据库，该敏感数据库包含若干的敏感词汇以及对应的处理规则。例如，可以设置敏感数据为合同金额，在合同金额大于预设值时便生成一标签；或者设置敏感词汇为一公司名称，在检测到合同中存在存在该公司名称时便生成一标签，用于提醒用户注意。通过利用敏感数据检测模块102检测合同中的敏感数据，可以为重要的合同或特殊的合同进行标记，可以为用户进行提醒和注意，便于用户操作。此外，在本公开的其他示例性实施例中，敏感数据也为人名、时间或合同编号等其他特殊词汇，本公开对此不做特殊限定。

参考图3所示，上述的安全策略管理模块104可以包括：防火墙配置模块1041、地址管理模块1042以及监控模块1043。其中，

所述防火墙配置模块1041可以用于为客户端设置防火墙及配置防火墙参数。

所述地址管理模块1042可以用于管理各客户端的IP地址及域名。

所述监控模块1043可以用于对用户及用户间的传输信道进行实时监控。

本示例实施方式中，上述的防火墙配置模块1041可以为各客户端204配置防火墙并设置具体参数，例如，可以根据用户的权限等级为各客户端设置不同级别的防火墙配置。还可以通过地址管理模块1042为各客户端204分配域名和IP地址。利用监控模块1043可以对各客户端及信道进行实时监控，例如，可以检测各客户端是否存在异常的登陆信息或数据查询信息，传输信道是否存在被截取的情况等等。

在本示例实施方式中，上述的加密处理模块103可以包括数据加密模块和传输加密模块(图中未示出)。其中，

所述数据加密模块可以用于对待发送或接收的合同数据的数据包进行加密或解密处理。

所述传输加密模块可以用于对数据包的传输信道进行加密处理。

对应用户生成的合同，可以在合同数据传输之前对数据包按预设规则对合同数据进行加密；以及在传输过程中进行加密，如对通信信道进行加密。举例来说，可以使用DES算法对合同数据的数据包进行加密传输。

在本示例实施方式中，参考图4所示，上述的安全管理系统100还可以包括数据验证模块106，可以用于检验待发送或已接收的合同数据是否存在数据缺陷；并在检测存在数据缺陷时生成一提示信息。

当用户在客户端完整合同内容的填写，并提交保存或发送时，数据验证模块106可以对当前的合同内容进行检验，判断该合同中是否存在数据错误、名称错误或存在未填写的内容等错误，并在检测存在上述缺陷时发出提示信息，以便于用户可以对合同内容进行修改和更正。此外，在本公开的其他示例性实施例中，用户也可以忽略提示信息并进行后续的操作。

在本示例实施方式中，参考图4所示，上述的安全管理系统100还可以包括：自主访问控制模块107，可以用于用户主动分配合同数据的权限信息。

通过设置自主访问控制模块107，使用户可以主动设置其他用户或客户端对本用户生成合同及客户端的访问权限。例如，可以设置允许相同权限等级的其他客户端对本客户端的访问，或者设置允许较低等级的客户端允许对本客户端的数据查询等等。本公开对资助访问控制的具体内容不做特殊限定。

在本示例实施方式中，参考图4所示，上述的安全管理系统100还可以包括：审计模块108，用于提供一审计接口，检测所述安全管理系统的性能指标。

上述的审计接口可以设置在服务器端201，并设置只允许在服务器端201利用该审计接口登陆所述的安全管理系统。此外，也可以设置为允许在各客户端204利用该审计接口登陆所述的安全管理系统。通过设置该审计模块，可以对系统中的活动信息进行识别、检查及分析，例如可以对用户登陆信息、数据传输信息、数据查询信息以及用户对合同数据的其他操作信息等进行识别及分析，从而判断系统是否存在安全漏洞。上述的各数据信息可以在存储模块105中获取。

在本公开的其他示例中，参考图4所示，上述的安全管理系统100还可以包括：数据备份模块109，用于对加密的合同数据、传输数据存储至预设的备份数据库。

参考图2所示场景，上述的数据备份模块109可以采用本地存储或网络存储的方式对各项数据进行备份。举例来说，可以采用云存储的方式对合同数据、传输数据等各项数据备份，从而在原有存储设备发生异常时，系统仍然能够正常运行。此外，上述的审计模块108在作业时也可以由该数据备份模块109获取数据。

应当注意，尽管在上文详细描述中提及了用于动作执行的设备的若干模块或者单元，但是这种划分并非强制性的。实际上，根据本公开的实施方式，上文描述的两个或更多模块或者单元的特征和功能可以在一个模块或者单元中具体化。反之，上文描述的一个模块或者单元的特征和功能可以进一步划分为由多个模块或者单元来具体化。

在本公开的示例性实施例中，还提供了一种能够实现上述系统功能的电子设备。

所属技术领域的技术人员能够理解，本发明的各个方面可以实现为系统、方法或程序产品。因此，本发明的各个方面可以具体实现为以下形式，即：完全的硬件实施方式、完全的软件实施方式(包括固件、微代码等)，或硬件和软件方面结合的实施方式，这里可以统称为“电路”、“模块”或“系统”。

下面参照图5来描述根据本发明的这种实施方式的电子设备600。图5显示的电子设备600仅仅是一个示例，不应对本发明实施例的功能和使用范围带来任何限制。

如图5所示，电子设备600以通用计算设备的形式表现。电子设备600的组件可以包括但不限于：上述至少一个处理单元610、上述至少一个存储单元620、连接不同系统组件(包括存储单元620和处理单元610)的总线630。

其中，所述存储单元存储有程序代码，所述程序代码可以被所述处理单元610执行，使得所述处理单元610执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的步骤。例如，所述处理单元610可以执行如图1中所示的基于合同数据的安全管理系统的指令。

存储单元620可以包括易失性存储单元形式的可读介质，例如随机存取存储单元(RAM)6201和/或高速缓存存储单元6202，还可以进一步包括只读存储单元(ROM)6203。

存储单元620还可以包括具有一组(至少一个)程序模块6205的程序/实用工具6204，这样的程序模块6205包括但不限于：操作系统、一个或者多个应用程序、其它程序模块以及程序数据，这些示例中的每一个或某种组合中可能包括网络环境的实现。

总线630可以为表示几类总线结构中的一种或多种，包括存储单元总线或者存储单元控制器、外围总线、图形加速端口、处理单元或者使用多种总线结构中的任意总线结构的局域总线。

电子设备600也可以与一个或多个外部设备700(例如键盘、指向设备、蓝牙设备等)通信，还可与一个或者多个使得用户能与该电子设备600交互的设备通信，和/或与使得该电子设备600能与一个或多个其它计算设备进行通信的任何设备(例如路由器、调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口650进行。并且，电子设备600还可以通过网络适配器660与一个或者多个网络(例如局域网(LAN)，广域网(WAN)和/或公共网络，例如因特网)通信。如图所示，网络适配器660通过总线630与电子设备600的其它模块通信。应当明白，尽管图中未示出，可以结合电子设备600使用其它硬件和/或软件模块，包括但不限于：微代码、设备驱动器、冗余处理单元、外部磁盘驱动阵列、RAID系统、磁带驱动器以及数据备份存储系统等。

通过以上的实施方式的描述，本领域的技术人员易于理解，这里描述的示例实施方式可以通过软件实现，也可以通过软件结合必要的硬件的方式来实现。因此，根据本公开实施方式的技术方案可以以软件产品的形式体现出来，该软件产品可以存储在一个非易失性存储介质(可以是CD-ROM，U盘，移动硬盘等)中或网络上，包括若干指令以使得一台计算设备(可以是个人计算机、服务器、终端装置、或者网络设备等)执行根据本公开实施方式的方法。

在本公开的示例性实施例中，还提供了一种计算机可读存储介质，其上存储有能够实现本说明书上述方法的程序产品。在一些可能的实施方式中，本发明的各个方面还可以实现为一种程序产品的形式，其包括程序代码，当所述程序产品在终端设备上运行时，所述程序代码用于使所述终端设备执行本说明书上述“示例性方法”部分中描述的根据本发明各种示例性实施方式的方法。

参考图6所示，描述了根据本发明的实施方式的用于实现上述系统功能的程序产品800，其可以采用便携式紧凑盘只读存储器(CD-ROM)并包括程序代码，并可以在终端设备，例如个人电脑上运行。然而，本发明的程序产品不限于此，在本文件中，可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。

所述程序产品可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以为但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。

计算机可读信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了可读程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。可读信号介质还可以是可读存储介质以外的任何可读介质，该可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。

可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于无线、有线、光缆、RF等等，或者上述的任意合适的组合。

可以以一种或多种程序设计语言的任意组合来编写用于执行本发明操作的程序代码，所述程序设计语言包括面向对象的程序设计语言—诸如Java、C++等，还包括常规的过程式程序设计语言—诸如“C”语言或类似的程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。在涉及远程计算设备的情形中，远程计算设备可以通过任意种类的网络，包括局域网(LAN)或广域网(WAN)，连接到用户计算设备，或者，可以连接到外部计算设备(例如利用因特网服务提供商来通过因特网连接)。

此外，上述附图仅是根据本发明示例性实施例的方法所包括的处理的示意性说明，而不是限制目的。易于理解，上述附图所示的处理并不表明或限制这些处理的时间顺序。另外，也易于理解，这些处理可以是例如在多个模块中同步或异步执行的。

本领域技术人员在考虑说明书及实践这里公开的发明后，将容易想到本公开的其他实施例。本申请旨在涵盖本公开的任何变型、用途或者适应性变化，这些变型、用途或者适应性变化遵循本公开的一般性原理并包括本公开未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的，本公开的真正范围和精神由权利要求指出。

应当理解的是，本公开并不局限于上面已经描述并在附图中示出的精确结构，并且可以在不脱离其范围进行各种修改和改变。本公开的范围仅由所附的权利要求来限。