聯系我們contact

電話(huà):027-59760188-801

地址:武漢市東湖高(gāo)新開發區(qū)光(guāng)谷大(dà)道120号現代森林(lín)小鎮A座609室

構建符合21 CFR Part11的(de)安全控制機制

發布時(shí)間:2015-11-20 浏覽次數:367次

聯邦法規21章(zhāng)第11款即CFR Part11主要規定内容涉及電子記錄和(hé)電子簽名,在此标準之下(xià)FDA将認爲電子記錄、電子簽名、和(hé)在電子記錄上的(de)手簽名是可(kě)信賴的(de)、可(kě)靠的(de)并且通(tōng)常等同于紙質記錄和(hé)在紙上的(de)手寫簽名。21CFR Part11自從1997年發布以來(lái),一路在争議(yì)聲中不斷前進。爲了(le)緩解一衆軟件和(hé)硬件供應商的(de)焦慮情緒,FDA在2003年發布進一步的(de)關于電子記錄和(hé)電子簽名的(de)應用(yòng)範圍指導,至2007年,發布”工業計算(suàn)機化(huà)系統在臨床研究中的(de)應用(yòng)導”。21CFR Part11是在計算(suàn)機和(hé)信息技術飛(fēi)速發展,藥品食品行業各環節大(dà)量采用(yòng)信息化(huà)和(hé)自動化(huà)技術的(de)背景下(xià)拟定的(de)。實驗室的(de)原始電子記錄越來(lái)越多(duō),紙質記錄已經越來(lái)越難以滿足記錄的(de)需求。爲了(le)确保電子數據的(de)有效性和(hé)可(kě)靠性,實現紙質記錄向電子記錄的(de)過渡,21CFR Part11對(duì)照(zhào)紙質記錄的(de)一些自然屬性對(duì)電子記錄做(zuò)出了(le)相應的(de)要求标準,并且遵照(zhào)此标準而保留的(de)數據才可(kě)以作爲通(tōng)過檢驗或者今後追溯的(de)有效數據來(lái)源。可(kě)以這(zhè)麽說,21CFR Part11所做(zuò)一切都是爲了(le)保證數據的(de)真實性和(hé)可(kě)靠性。真實和(hé)可(kě)靠是目的(de),數據的(de)安全性,完整性,可(kě)追溯性則是手段。

盡管FDA 2003年出版的(de)指導原則對(duì)其應用(yòng)範圍做(zuò)了(le)壓縮,并且FDA也(yě)宣稱工業界可(kě)以在踐行Part11時(shí)具有一定的(de)自主決定權,但原稿中大(dà)部分(fēn)的(de)技術性的(de)控制要求并沒有變更。授權人(rén)員(yuán)對(duì)系統有控制的(de)訪問權限仍然是符合21CFR part11的(de)一個(gè)強制要求,因爲其是數據安全性的(de)首要保證。

1.訪問控制

訪問安全的(de)控制從廣義上講包括物(wù)理(lǐ)安全和(hé)邏輯安全。物(wù)理(lǐ)安全是邏輯安全的(de)基礎。物(wù)理(lǐ)訪問控制措施如符合标準規定的(de)設備、門、鎖和(hé)安全環境等方面的(de)要求。通(tōng)過物(wù)理(lǐ)安全控制措施使得(de)未授權的(de)用(yòng)戶不能随意進入計算(suàn)機設施設備的(de)存放場(chǎng)所。用(yòng)于實驗室的(de)服務器設備要盡可(kě)能納入公司統一的(de)管理(lǐ),如果條件不具備,也(yě)應該遵循公司自有的(de)規章(zhāng)制度或專業指導原則配備完善的(de)硬件設備和(hé)制定嚴格的(de)管理(lǐ)制度。以下(xià)要討(tǎo)論的(de)訪問控制均是基于物(wù)理(lǐ)安全下(xià)的(de)邏輯安全控制。其主要目的(de)是限制訪問主體對(duì)客體的(de)訪問,從而保障數據資源在合法範圍内得(de)以有效使用(yòng)和(hé)管理(lǐ)。爲了(le)達到上述目的(de),訪問控制需要完成兩個(gè)任務:1.識别和(hé)确認訪問系統的(de)用(yòng)戶,2.決定該用(yòng)戶可(kě)以對(duì)哪些系統資源進行何種類型的(de)訪問。

21CFR Part11要求在數據管理(lǐ)系統中應用(yòng)專門的(de)邏輯安全控制策略以防止數據無意或故意的(de)誤用(yòng),産生錯誤和(hé)瑕疵。21CFR第11部分(fēn)從1997年開始執行,依照(zhào)該規範,因爲缺乏數據系統的(de)邏輯安全控制措施并由此而導緻的(de)産品質量風險是不可(kě)接受的(de)。FDA就此提出了(le)警告:”不能對(duì)21CFR820.40所要求的(de)文件控制建立相應的(de)管理(lǐ)規程;沒有進行授權檢查以确保隻有經授權的(de)人(rén)才能進入系統修改文件。 例如,用(yòng)于生産的(de)儀器和(hé)設備的(de)工程圖紙以CAD文件的(de)形式放在個(gè)人(rén)計算(suàn)機中,該存儲設備沒有設置防止未授權的(de)訪問和(hé)對(duì)圖紙的(de)更改,即該計算(suàn)機沒有任何訪問控制的(de)機制。

爲實現執行訪問控制的(de)目的(de),第一步就需要識别訪問系統的(de)用(yòng)戶。系統應能夠根據有效的(de)識别符号區(qū)分(fēn)合法用(yòng)戶和(hé)非法用(yòng)戶。當前可(kě)采用(yòng)的(de)識别機制有很多(duō)種,我們可(kě)以參看下(xià)面的(de)圖示。最普通(tōng)的(de)是基于用(yòng)戶名和(hé)密碼的(de)認證機制,更複雜(zá)的(de)有多(duō)重密碼規則,公鑰基礎設施認證(采用(yòng)公鑰和(hé)私鑰的(de)非對(duì)稱加密技術),生物(wù)特征标志(如指紋、面部輪廓、聲音(yīn)、視網膜),以及結合生物(wù)特征的(de)公鑰體系,這(zhè)些用(yòng)戶驗證模式在安全等級上逐次提高(gāo),但用(yòng)戶使用(yòng)的(de)複雜(zá)度和(hé)建設這(zhè)套體系所需的(de)費用(yòng)方面也(yě)急劇增加。除非涉及國家安全和(hé)軍事機密等特殊領域,需要大(dà)量硬件和(hé)軟件投入的(de)生物(wù)特征識别性價比目前并不高(gāo)。從21CFR第11部分(fēn)的(de)要求來(lái)看,用(yòng)戶名與密碼的(de)驗證機制已經足夠了(le),每一個(gè)系統認證用(yòng)戶都授予唯一性的(de)用(yòng)戶名和(hé)密碼。大(dà)多(duō)數情況下(xià),操作系統内置的(de)策略和(hé)規則一般都能保證用(yòng)戶名與密碼對(duì)用(yòng)戶标示的(de)唯一性。在這(zhè)裏,我們建議(yì)實驗室中的(de)數據系統直接借用(yòng)操作系統或Active Directory内置的(de)用(yòng)戶驗證功能,而不需這(zhè)些數據管理(lǐ)軟件本身再重複,可(kě)以避免用(yòng)戶記憶多(duō)套用(yòng)戶名和(hé)密碼。

2.密碼策略與密碼保護

根據Part11的(de)要求,多(duō)人(rén)共享密碼是明(míng)顯的(de)違規行爲。在FDA的(de)一封警告信中描述了(le)一個(gè)案例:某個(gè)員(yuán)工的(de)用(yòng)戶ID和(hé)密碼公開給了(le)其他(tā)員(yuán)工,以便他(tā)們去訪問系統中的(de)數據。一些本身在系統中沒有賬戶的(de)員(yuán)工也(yě)利用(yòng)該公開的(de)用(yòng)戶名去訪問系統中的(de)數據。更加讓人(rén)不解的(de)是,三名員(yuán)工在1997年到1998年間離職後,到了(le)1999年的(de)3月(yuè)18日,采用(yòng)這(zhè)些人(rén)的(de)帳号仍能夠訪問關鍵的(de)和(hé)限制性的(de)數據管理(lǐ)系統的(de)功能。 密碼一旦在員(yuán)工之間分(fēn)享,其身份确認能力和(hé)保密性就起不到任何作用(yòng)。如何保持密碼的(de)安全性,21CFR part11中闡明(míng)了(le)用(yòng)于執行電子簽名時(shí)對(duì)身份識别機制的(de)一些要求:即隻能由電子簽名的(de)真實所有者使用(yòng)。

 實際的(de)問題是當公司采用(yòng)了(le)多(duō)個(gè)信息系統(email,LIMS,CDS,ERP等等),随之而來(lái)的(de)就是多(duō)組用(yòng)戶名和(hé)密碼,而且一些系統還(hái)會要求用(yòng)戶定期更換密碼,并與之前的(de)密碼不能一緻。用(yòng)戶在如此多(duō)的(de)用(yòng)戶名和(hé)密碼之間很可(kě)能會暈頭轉向,不僅給日常的(de)應用(yòng)帶來(lái)極大(dà)的(de)不便,同時(shí)還(hái)會加重系統管理(lǐ)員(yuán)的(de)工作負擔。這(zhè)個(gè)問題可(kě)以通(tōng)過統一身份認證來(lái)解決。很多(duō)實驗室數據管理(lǐ)軟件都提供了(le)與域用(yòng)戶集成的(de)功能,域管理(lǐ)員(yuán)可(kě)以對(duì)這(zhè)些用(yòng)戶帳号采取統一的(de)管理(lǐ)策略,例如密碼驗證失敗幾次後系統将不允許繼續登錄,密碼策略還(hái)包含密碼的(de)字符類型,長(cháng)度,過期時(shí)間等。如果實驗室軟件本身不提供或僅提供很少的(de)帳戶管理(lǐ)策略,那麽充分(fēn)利用(yòng)統一的(de)身份認證工具是在訪問控制方面符合21CFR Part11的(de)最好選擇。所以購(gòu)買數據系統之前,用(yòng)戶必須檢查供貨商所提供軟件的(de)帳号管理(lǐ)方式,最好能利用(yòng)當前IT架構所提供的(de)用(yòng)戶驗證體系。

常見的(de)密碼保護策略:

 • 用(yòng)戶密碼應該僅由其所有者知道,包括系統管理(lǐ)員(yuán),如果初始密碼由系統管理(lǐ)員(yuán)設定,則用(yòng)戶初始登錄時(shí)必須修改初始密碼

 • 密碼應該至少包括6個(gè)字符,同時(shí)包含數字,大(dà)小寫字母和(hé)标點符号

 • 不得(de)使用(yòng)個(gè)人(rén)信息,如姓名拼音(yīn),電話(huà),生日等作爲密碼

 • 一個(gè)帳号如果登錄3次失敗,應該被鎖定

 • 強制定期更換密碼

3.對(duì)合法進入系統的(de)用(yòng)戶進行權限的(de)區(qū)分(fēn)

完成用(yòng)戶識别之後,并非就解決了(le)系統應用(yòng)的(de)安全問題。系統還(hái)需要根據用(yòng)戶的(de)職位和(hé)職責決定該用(yòng)戶可(kě)以對(duì)哪些系統資源進行何種類型的(de)訪問。如果不對(duì)合法用(yòng)戶權限差異化(huà)的(de)區(qū)分(fēn),既難做(zuò)到數據的(de)保密又容易由于用(yòng)戶的(de)誤操作導緻數據的(de)丢失。FDA在注釋的(de)第83條進行解釋:“控制系統的(de)進人(rén)是基本的(de)安全功能,因爲即使沒有任何非法記錄,也(yě)要懷疑系統的(de)完整性。例如,某人(rén)可(kě)以進人(rén)系統,改變密碼的(de)配置,或忽略安全機制,使未經授權的(de)人(rén)可(kě)以修改電子記錄或閱讀未經授權的(de)信息。”對(duì)個(gè)人(rén)進行權限檢查首先需要系統向個(gè)人(rén)進行個(gè)性化(huà)的(de)授權。随著(zhe)企業規模的(de)擴大(dà)以及軟件本身的(de)發展,授權方式也(yě)有很多(duō)種,如角色,分(fēn)組,任務等。

在常見的(de)授權方式中,按照(zhào)用(yòng)戶進行授權在大(dà)用(yòng)戶量存在的(de)前提下(xià)肯定是不現實的(de),而按照(zhào)角色授權是很好的(de)解決辦法。角色包含一定數量的(de)權限的(de),是完成一項任務必須訪問的(de)資源及相應操作權限的(de)集合。角色作爲一個(gè)用(yòng)戶與權限的(de)代理(lǐ)層,表現爲權限和(hé)用(yòng)戶的(de)關系,用(yòng)戶通(tōng)過成爲适當的(de)角色從而得(de)到相應的(de)權限,用(yòng)戶角色的(de)分(fēn)配要基于每個(gè)用(yòng)戶的(de)職責、資質以及所接受的(de)培訓程度。角色是從使用(yòng)者的(de)角度來(lái)劃分(fēn)的(de)。在藥物(wù)研發實驗室中典型的(de)角色有:化(huà)學研究員(yuán),高(gāo)級分(fēn)析員(yuán),SD,技術員(yuán),系統管理(lǐ)員(yuán)。基于角色的(de)權限設計适合于分(fēn)工細化(huà)的(de)工作環境(生産型環境和(hé)QC實驗室比較具有代表性),在這(zhè)種環境中工作分(fēn)工都有嚴格的(de)定義,整個(gè)工作流程按照(zhào)設定的(de)方式運轉。有專職技術人(rén)員(yuán)負責分(fēn)析儀器的(de)準備工作(如柱平衡或者對(duì)檢測器進行校正),設置分(fēn)析序列,并對(duì)分(fēn)析結果做(zuò)最終的(de)确認,更高(gāo)級的(de)研究員(yuán)去進行方法開發,自定義計算(suàn)等,并對(duì)結果的(de)審核進行簽名。角色可(kě)依新需求賦予新的(de)權限,也(yě)可(kě)以根據需要從角色收回。角色可(kě)以大(dà)大(dà)簡化(huà)權限管理(lǐ),降低了(le)授權管理(lǐ)的(de)複雜(zá)性和(hé)管理(lǐ)開銷,提高(gāo)企業安全策略的(de)靈活性。如果一個(gè)公司内部分(fēn)工不明(míng)确,人(rén)員(yuán)職責有交叉,采用(yòng)角色的(de)意義就小了(le)。

基于任務的(de)訪問控制是從應用(yòng)和(hé)企業層角度來(lái)解決安全問題,以面向任務的(de)觀點,從任務(活動)的(de)角度來(lái)建立安全模型和(hé)實現安全機制,在任務處理(lǐ)的(de)過程中提供動态實時(shí)的(de)安全管理(lǐ)。在這(zhè)種安全控制策略中,對(duì)象的(de)訪問權限控制并不是靜止不變的(de),而是随著(zhe)執行任務的(de)上下(xià)文環境發生變化(huà)。結合角色、對(duì)象授權機制,可(kě)以實現立體化(huà)的(de)授權體系,滿足高(gāo)度複雜(zá)化(huà)的(de)權限設定要求。

4.預防僞造的(de)相關措施

盡管有諸多(duō)措施,但用(yòng)戶還(hái)是可(kě)能有意或無意地使用(yòng)其他(tā)用(yòng)戶的(de)身份對(duì)數據記錄進行簽署或确認。工作中常見的(de)一個(gè)例子就是當有人(rén)無意中讓其計算(suàn)機的(de)會話(huà)處于活動狀态,轉而離開計算(suàn)機去做(zuò)其他(tā)事情,别人(rén)就能利用(yòng)其已登錄帳号做(zuò)任何改動。上述情景會成爲用(yòng)戶否認其電子記錄有效性的(de)一個(gè)借口。

第11部分(fēn)在第63條注釋中提到,降低”不使用(yòng)自己的(de)電子簽名而登錄系統和(hé)改變已簽字确認的(de)記錄的(de)可(kě)能性”。相關機構認爲在這(zhè)種背景下(xià),有必要采取嚴格措施防止簽名僞造的(de)可(kě)能性。這(zhè)些控制措施包括:1.要求在一次簽名認可(kě)操作過程中與工作站電腦(nǎo)的(de)距離在目視範圍之内,或者說盡可(kě)能接近該人(rén)機會話(huà)位置。2.如果規定時(shí)間内用(yòng)戶沒有進行任何操作,則系統提供自動轉入會話(huà)鎖定狀态或者自動登出系統。3.在連續數據變更動作發生時(shí)要求用(yòng)戶提交至少具有一個(gè)簽名成分(fēn)(簽名的(de)成分(fēn)通(tōng)常包括用(yòng)戶ID,密碼)的(de)電子簽名,并且該簽名成分(fēn)(例如密碼)僅有真實的(de)所有者知道(21 CFR Part11 200條規定)。

5.供應商技術對(duì)賬号管理(lǐ)的(de)支持

實驗室數據管理(lǐ)系統在安裝實施完畢後,用(yòng)戶方往往都需要供應商的(de)定期或不定期的(de)技術支持。如果技術支持人(rén)員(yuán)到不了(le)現場(chǎng),則需要進行遠(yuǎn)程協助。對(duì)于Windows系統而言,遠(yuǎn)程進行診斷和(hé)處置需要涉及Windows系統賬号和(hé)數據管理(lǐ)系統本身的(de)賬号,而且相應的(de)權限還(hái)要求比較高(gāo)。我們通(tōng)常的(de)錯誤做(zuò)法是直接将用(yòng)戶方的(de)系統管理(lǐ)員(yuán)賬号直接借給廠商技術人(rén)員(yuán)使用(yòng),如果在工作上确實有需要,雙方當面在現場(chǎng)操作是沒有問題的(de),但如果通(tōng)過遠(yuǎn)程桌面的(de)形式,系統管理(lǐ)員(yuán)對(duì)于供應商技術人(rén)員(yuán)的(de)的(de)相關操作并不知情,兩者相當于是共享登陸,綜合前文所述,這(zhè)意味著(zhe)系統管理(lǐ)員(yuán)可(kě)以否認在此期間已簽字行爲,而聲明(míng)不是自己做(zuò)的(de)。

比較合适的(de)方法是在操作系統和(hé)數據管理(lǐ)系統中創建專門的(de)運維賬号,并且隻在支持期間将其激活,如果賬号不用(yòng),則使其失效,并對(duì)該賬号進行最小化(huà)權限配置。

總結:

1.在日常運行中,要持續識别和(hé)評估可(kě)能影(yǐng)響數據系統和(hé)電子簽名可(kě)信度和(hé)可(kě)靠性的(de)風險,并做(zuò)出應對(duì)這(zhè)些風險的(de)措施。

2.使用(yòng)信息系統自帶的(de)安全機制控制訪問,最好能利用(yòng)現有的(de)統一身份認證系統。

3.實施周密的(de)密碼策略,保證用(yòng)戶的(de)訪問安全性和(hé)真實性,這(zhè)種密碼策略最好也(yě)采用(yòng)身份認證系統去設置。

4.建立基于用(yòng)戶角色和(hé)訪問對(duì)象的(de)權限識别機制

5.制定預防簽名僞冒的(de)措施,如計算(suàn)機會話(huà)的(de)超時(shí)自動鎖定功能。

6.妥善地管理(lǐ)遠(yuǎn)程技術支持賬号,不能影(yǐng)響系統的(de)保密性和(hé)安全性