聯(lián)邦法規(guī)21章第11款即CFR Part11主要規(guī)定內(nèi)容涉及電子記錄和電子簽名���,在此標(biāo)準(zhǔn)之下FDA將認(rèn)為電子記錄、電子簽名�����、和在電子記錄上的手簽名是可信賴的����、可靠的并且通常等同于紙質(zhì)記錄和在紙上的手寫簽名�����。21CFR Part11自從1997年發(fā)布以來�,一路在爭議聲中不斷前進��。為了緩解一眾軟件和硬件供應(yīng)商的焦慮情緒,F(xiàn)DA在2003年發(fā)布進一步的關(guān)于電子記錄和電子簽名的應(yīng)用范圍指導(dǎo)��,至2007年�����,發(fā)布”工業(yè)計算機化系統(tǒng)在臨床研究中的應(yīng)用導(dǎo)”��。21CFR Part11是在計算機和信息技術(shù)飛速發(fā)展�,藥品食品行業(yè)各環(huán)節(jié)大量采用信息化和自動化技術(shù)的背景下擬定的。實驗室的原始電子記錄越來越多����,紙質(zhì)記錄已經(jīng)越來越難以滿足記錄的需求。為了確保電子數(shù)據(jù)的有效性和可靠性���,實現(xiàn)紙質(zhì)記錄向電子記錄的過渡,21CFR Part11對照紙質(zhì)記錄的一些自然屬性對電子記錄做出了相應(yīng)的要求標(biāo)準(zhǔn)��,并且遵照此標(biāo)準(zhǔn)而保留的數(shù)據(jù)才可以作為通過檢驗或者今后追溯的有效數(shù)據(jù)來源�??梢赃@么說����,21CFR Part11所做一切都是為了保證數(shù)據(jù)的真實性和可靠性。真實和可靠是目的,數(shù)據(jù)的安全性���,完整性�����,可追溯性則是手段。
盡管FDA 2003年出版的指導(dǎo)原則對其應(yīng)用范圍做了壓縮,并且FDA也宣稱工業(yè)界可以在踐行Part11時具有一定的自主決定權(quán)�����,但原稿中大部分的技術(shù)性的控制要求并沒有變更��。授權(quán)人員對系統(tǒng)有控制的訪問權(quán)限仍然是符合21CFR part11的一個強制要求��,因為其是數(shù)據(jù)安全性的首要保證����。
1.訪問控制
訪問安全的控制從廣義上講包括物理安全和邏輯安全�。物理安全是邏輯安全的基礎(chǔ)����。物理訪問控制措施如符合標(biāo)準(zhǔn)規(guī)定的設(shè)備、門��、鎖和安全環(huán)境等方面的要求����。通過物理安全控制措施使得未授權(quán)的用戶不能隨意進入計算機設(shè)施設(shè)備的存放場所��。用于實驗室的服務(wù)器設(shè)備要盡可能納入公司統(tǒng)一的管理�,如果條件不具備,也應(yīng)該遵循公司自有的規(guī)章制度或?qū)I(yè)指導(dǎo)原則配備完善的硬件設(shè)備和制定嚴(yán)格的管理制度�����。以下要討論的訪問控制均是基于物理安全下的邏輯安全控制�����。其主要目的是限制訪問主體對客體的訪問����,從而保障數(shù)據(jù)資源在合法范圍內(nèi)得以有效使用和管理�。為了達(dá)到上述目的���,訪問控制需要完成兩個任務(wù):1.識別和確認(rèn)訪問系統(tǒng)的用戶���,2.決定該用戶可以對哪些系統(tǒng)資源進行何種類型的訪問。
21CFR Part11要求在數(shù)據(jù)管理系統(tǒng)中應(yīng)用專門的邏輯安全控制策略以防止數(shù)據(jù)無意或故意的誤用�����,產(chǎn)生錯誤和瑕疵��。21CFR第11部分從1997年開始執(zhí)行���,依照該規(guī)范,因為缺乏數(shù)據(jù)系統(tǒng)的邏輯安全控制措施并由此而導(dǎo)致的產(chǎn)品質(zhì)量風(fēng)險是不可接受的��。FDA就此提出了警告:”不能對21CFR820.40所要求的文件控制建立相應(yīng)的管理規(guī)程;沒有進行授權(quán)檢查以確保只有經(jīng)授權(quán)的人才能進入系統(tǒng)修改文件��。 例如,用于生產(chǎn)的儀器和設(shè)備的工程圖紙以CAD文件的形式放在個人計算機中�����,該存儲設(shè)備沒有設(shè)置防止未授權(quán)的訪問和對圖紙的更改����,即該計算機沒有任何訪問控制的機制�����。
為實現(xiàn)執(zhí)行訪問控制的目的�,第一步就需要識別訪問系統(tǒng)的用戶�。系統(tǒng)應(yīng)能夠根據(jù)有效的識別符號區(qū)分合法用戶和非法用戶�。當(dāng)前可采用的識別機制有很多種�,我們可以參看下面的圖示�����。最普通的是基于用戶名和密碼的認(rèn)證機制��,更復(fù)雜的有多重密碼規(guī)則����,公鑰基礎(chǔ)設(shè)施認(rèn)證(采用公鑰和私鑰的非對稱加密技術(shù))�����,生物特征標(biāo)志(如指紋����、面部輪廓、聲音�、視網(wǎng)膜),以及結(jié)合生物特征的公鑰體系��,這些用戶驗證模式在安全等級上逐次提高���,但用戶使用的復(fù)雜度和建設(shè)這套體系所需的費用方面也急劇增加����。除非涉及國家安全和軍事機密等特殊領(lǐng)域,需要大量硬件和軟件投入的生物特征識別性價比目前并不高��。從21CFR第11部分的要求來看���,用戶名與密碼的驗證機制已經(jīng)足夠了,每一個系統(tǒng)認(rèn)證用戶都授予唯一性的用戶名和密碼。大多數(shù)情況下��,操作系統(tǒng)內(nèi)置的策略和規(guī)則一般都能保證用戶名與密碼對用戶標(biāo)示的唯一性��。在這里��,我們建議實驗室中的數(shù)據(jù)系統(tǒng)直接借用操作系統(tǒng)或Active Directory內(nèi)置的用戶驗證功能����,而不需這些數(shù)據(jù)管理軟件本身再重復(fù)�����,可以避免用戶記憶多套用戶名和密碼����。
2.密碼策略與密碼保護
根據(jù)Part11的要求��,多人共享密碼是明顯的違規(guī)行為�����。在FDA的一封警告信中描述了一個案例:某個員工的用戶ID和密碼公開給了其他員工���,以便他們?nèi)ピL問系統(tǒng)中的數(shù)據(jù)����。一些本身在系統(tǒng)中沒有賬戶的員工也利用該公開的用戶名去訪問系統(tǒng)中的數(shù)據(jù)�����。更加讓人不解的是�����,三名員工在1997年到1998年間離職后,到了1999年的3月18日���,采用這些人的帳號仍能夠訪問關(guān)鍵的和限制性的數(shù)據(jù)管理系統(tǒng)的功能。 密碼一旦在員工之間分享����,其身份確認(rèn)能力和保密性就起不到任何作用。如何保持密碼的安全性�����,21CFR part11中闡明了用于執(zhí)行電子簽名時對身份識別機制的一些要求:即只能由電子簽名的真實所有者使用。
實際的問題是當(dāng)公司采用了多個信息系統(tǒng)(email,LIMS,CDS,ERP等等),隨之而來的就是多組用戶名和密碼����,而且一些系統(tǒng)還會要求用戶定期更換密碼�,并與之前的密碼不能一致。用戶在如此多的用戶名和密碼之間很可能會暈頭轉(zhuǎn)向���,不僅給日常的應(yīng)用帶來極大的不便�,同時還會加重系統(tǒng)管理員的工作負(fù)擔(dān)。這個問題可以通過統(tǒng)一身份認(rèn)證來解決���。很多實驗室數(shù)據(jù)管理軟件都提供了與域用戶集成的功能,域管理員可以對這些用戶帳號采取統(tǒng)一的管理策略,例如密碼驗證失敗幾次后系統(tǒng)將不允許繼續(xù)登錄�����,密碼策略還包含密碼的字符類型�,長度,過期時間等�����。如果實驗室軟件本身不提供或僅提供很少的帳戶管理策略,那么充分利用統(tǒng)一的身份認(rèn)證工具是在訪問控制方面符合21CFR Part11的最好選擇�。所以購買數(shù)據(jù)系統(tǒng)之前�����,用戶必須檢查供貨商所提供軟件的帳號管理方式���,最好能利用當(dāng)前IT架構(gòu)所提供的用戶驗證體系。
常見的密碼保護策略:
? 用戶密碼應(yīng)該僅由其所有者知道,包括系統(tǒng)管理員�,如果初始密碼由系統(tǒng)管理員設(shè)定,則用戶初始登錄時必須修改初始密碼
? 密碼應(yīng)該至少包括6個字符��,同時包含數(shù)字,大小寫字母和標(biāo)點符號
? 不得使用個人信息�,如姓名拼音�����,電話,生日等作為密碼
? 一個帳號如果登錄3次失敗,應(yīng)該被鎖定 ? 強制定期更換密碼 |
3.對合法進入系統(tǒng)的用戶進行權(quán)限的區(qū)分
完成用戶識別之后��,并非就解決了系統(tǒng)應(yīng)用的安全問題�。系統(tǒng)還需要根據(jù)用戶的職位和職責(zé)決定該用戶可以對哪些系統(tǒng)資源進行何種類型的訪問�。如果不對合法用戶權(quán)限差異化的區(qū)分�,既難做到數(shù)據(jù)的保密又容易由于用戶的誤操作導(dǎo)致數(shù)據(jù)的丟失。FDA在注釋的第83條進行解釋:“控制系統(tǒng)的進人是基本的安全功能�,因為即使沒有任何非法記錄��,也要懷疑系統(tǒng)的完整性���。例如�,某人可以進人系統(tǒng)�,改變密碼的配置�����,或忽略安全機制�,使未經(jīng)授權(quán)的人可以修改電子記錄或閱讀未經(jīng)授權(quán)的信息?��!睂€人進行權(quán)限檢查首先需要系統(tǒng)向個人進行個性化的授權(quán)。隨著企業(yè)規(guī)模的擴大以及軟件本身的發(fā)展�,授權(quán)方式也有很多種��,如角色����,分組���,任務(wù)等。
在常見的授權(quán)方式中�,按照用戶進行授權(quán)在大用戶量存在的前提下肯定是不現(xiàn)實的,而按照角色授權(quán)是很好的解決辦法。角色包含一定數(shù)量的權(quán)限的���,是完成一項任務(wù)必須訪問的資源及相應(yīng)操作權(quán)限的集合��。角色作為一個用戶與權(quán)限的代理層,表現(xiàn)為權(quán)限和用戶的關(guān)系�����,用戶通過成為適當(dāng)?shù)慕巧珡亩玫较鄳?yīng)的權(quán)限���,用戶角色的分配要基于每個用戶的職責(zé)、資質(zhì)以及所接受的培訓(xùn)程度�����。角色是從使用者的角度來劃分的����。在藥物研發(fā)實驗室中典型的角色有:化學(xué)研究員,高級分析員�����,SD�,技術(shù)員�����,系統(tǒng)管理員���。基于角色的權(quán)限設(shè)計適合于分工細(xì)化的工作環(huán)境(生產(chǎn)型環(huán)境和QC實驗室比較具有代表性)�����,在這種環(huán)境中工作分工都有嚴(yán)格的定義,整個工作流程按照設(shè)定的方式運轉(zhuǎn)�����。有專職技術(shù)人員負(fù)責(zé)分析儀器的準(zhǔn)備工作(如柱平衡或者對檢測器進行校正)��,設(shè)置分析序列���,并對分析結(jié)果做最終的確認(rèn)����,更高級的研究員去進行方法開發(fā)����,自定義計算等����,并對結(jié)果的審核進行簽名�。角色可依新需求賦予新的權(quán)限���,也可以根據(jù)需要從角色收回�����。角色可以大大簡化權(quán)限管理,降低了授權(quán)管理的復(fù)雜性和管理開銷����,提高企業(yè)安全策略的靈活性。如果一個公司內(nèi)部分工不明確���,人員職責(zé)有交叉�,采用角色的意義就小了�����。
基于任務(wù)的訪問控制是從應(yīng)用和企業(yè)層角度來解決安全問題,以面向任務(wù)的觀點,從任務(wù)(活動)的角度來建立安全模型和實現(xiàn)安全機制�����,在任務(wù)處理的過程中提供動態(tài)實時的安全管理��。在這種安全控制策略中�,對象的訪問權(quán)限控制并不是靜止不變的�����,而是隨著執(zhí)行任務(wù)的上下文環(huán)境發(fā)生變化�。結(jié)合角色、對象授權(quán)機制��,可以實現(xiàn)立體化的授權(quán)體系����,滿足高度復(fù)雜化的權(quán)限設(shè)定要求�����。
4.預(yù)防偽造的相關(guān)措施
盡管有諸多措施��,但用戶還是可能有意或無意地使用其他用戶的身份對數(shù)據(jù)記錄進行簽署或確認(rèn)。工作中常見的一個例子就是當(dāng)有人無意中讓其計算機的會話處于活動狀態(tài)����,轉(zhuǎn)而離開計算機去做其他事情���,別人就能利用其已登錄帳號做任何改動����。上述情景會成為用戶否認(rèn)其電子記錄有效性的一個借口����。
第11部分在第63條注釋中提到��,降低”不使用自己的電子簽名而登錄系統(tǒng)和改變已簽字確認(rèn)的記錄的可能性”。相關(guān)機構(gòu)認(rèn)為在這種背景下,有必要采取嚴(yán)格措施防止簽名偽造的可能性��。這些控制措施包括:1.要求在一次簽名認(rèn)可操作過程中與工作站電腦的距離在目視范圍之內(nèi)�����,或者說盡可能接近該人機會話位置��。2.如果規(guī)定時間內(nèi)用戶沒有進行任何操作����,則系統(tǒng)提供自動轉(zhuǎn)入會話鎖定狀態(tài)或者自動登出系統(tǒng)。3.在連續(xù)數(shù)據(jù)變更動作發(fā)生時要求用戶提交至少具有一個簽名成分(簽名的成分通常包括用戶ID���,密碼)的電子簽名,并且該簽名成分(例如密碼)僅有真實的所有者知道(21 CFR Part11 200條規(guī)定)�。
5.供應(yīng)商技術(shù)對賬號管理的支持
實驗室數(shù)據(jù)管理系統(tǒng)在安裝實施完畢后�,用戶方往往都需要供應(yīng)商的定期或不定期的技術(shù)支持。如果技術(shù)支持人員到不了現(xiàn)場��,則需要進行遠(yuǎn)程協(xié)助����。對于Windows系統(tǒng)而言�����,遠(yuǎn)程進行診斷和處置需要涉及Windows系統(tǒng)賬號和數(shù)據(jù)管理系統(tǒng)本身的賬號��,而且相應(yīng)的權(quán)限還要求比較高�����。我們通常的錯誤做法是直接將用戶方的系統(tǒng)管理員賬號直接借給廠商技術(shù)人員使用���,如果在工作上確實有需要���,雙方當(dāng)面在現(xiàn)場操作是沒有問題的,但如果通過遠(yuǎn)程桌面的形式��,系統(tǒng)管理員對于供應(yīng)商技術(shù)人員的的相關(guān)操作并不知情�����,兩者相當(dāng)于是共享登陸,綜合前文所述����,這意味著系統(tǒng)管理員可以否認(rèn)在此期間已簽字行為,而聲明不是自己做的����。
比較合適的方法是在操作系統(tǒng)和數(shù)據(jù)管理系統(tǒng)中創(chuàng)建專門的運維賬號,并且只在支持期間將其激活����,如果賬號不用,則使其失效���,并對該賬號進行最小化權(quán)限配置�����。
總結(jié):
1.在日常運行中�,要持續(xù)識別和評估可能影響數(shù)據(jù)系統(tǒng)和電子簽名可信度和可靠性的風(fēng)險���,并做出應(yīng)對這些風(fēng)險的措施。
2.使用信息系統(tǒng)自帶的安全機制控制訪問���,最好能利用現(xiàn)有的統(tǒng)一身份認(rèn)證系統(tǒng)��。
3.實施周密的密碼策略,保證用戶的訪問安全性和真實性�����,這種密碼策略最好也采用身份認(rèn)證系統(tǒng)去設(shè)置。
4.建立基于用戶角色和訪問對象的權(quán)限識別機制��。
5.制定預(yù)防簽名偽冒的措施��,如計算機會話的超時自動鎖定功能���。
6.妥善地管理遠(yuǎn)程技術(shù)支持賬號�����,不能影響系統(tǒng)的保密性和安全性����。
