构建符合21 CFR Part11的安全控制机制

联邦法规21章第11款即CFR Part11主要规定内容涉及电子记录和电子签名，在此标准之下FDA将认为电子记录、电子签名、和在电子记录上的手签名是可信赖的、可靠的并且通常等同于纸质记录和在纸上的手写签名。21CFR Part11自从1997年发布以来，一路在争议声中不断前进。为了缓解一众软件和硬件供应商的焦虑情绪，FDA在2003年发布进一步的关于电子记录和电子签名的应用范围指导，至2007年，发布”工业计算机化系统在临床研究中的应用导”。21CFR Part11是在计算机和信息技术飞速发展，药品食品行业各环节大量采用信息化和自动化技术的背景下拟定的。实验室的原始电子记录越来越多，纸质记录已经越来越难以满足记录的需求。为了确保电子数据的有效性和可靠性，实现纸质记录向电子记录的过渡，21CFR Part11对照纸质记录的一些自然属性对电子记录做出了相应的要求标准，并且遵照此标准而保留的数据才可以作为通过检验或者今后追溯的有效数据来源。可以这么说，21CFR Part11所做一切都是为了保证数据的真实性和可靠性。真实和可靠是目的，数据的安全性，完整性，可追溯性则是手段。

尽管FDA 2003年出版的指导原则对其应用范围做了压缩，并且FDA也宣称工业界可以在践行Part11时具有一定的自主决定权，但原稿中大部分的技术性的控制要求并没有变更。授权人员对系统有控制的访问权限仍然是符合21CFR part11的一个强制要求，因为其是数据安全性的首要保证。

1.访问控制

访问安全的控制从广义上讲包括物理安全和逻辑安全。物理安全是逻辑安全的基础。物理访问控制措施如符合标准规定的设备、门、锁和安全环境等方面的要求。通过物理安全控制措施使得未授权的用户不能随意进入计算机设施设备的存放场所。用于实验室的服务器设备要尽可能纳入公司统一的管理，如果条件不具备，也应该遵循公司自有的规章制度或专业指导原则配备完善的硬件设备和制定严格的管理制度。以下要讨论的访问控制均是基于物理安全下的逻辑安全控制。其主要目的是限制访问主体对客体的访问，从而保障数据资源在合法范围内得以有效使用和管理。为了达到上述目的，访问控制需要完成两个任务：1.识别和确认访问系统的用户，2.决定该用户可以对哪些系统资源进行何种类型的访问。

21CFR Part11要求在数据管理系统中应用专门的逻辑安全控制策略以防止数据无意或故意的误用，产生错误和瑕疵。21CFR第11部分从1997年开始执行，依照该规范，因为缺乏数据系统的逻辑安全控制措施并由此而导致的产品质量风险是不可接受的。FDA就此提出了警告:”不能对21CFR820.40所要求的文件控制建立相应的管理规程;没有进行授权检查以确保只有经授权的人才能进入系统修改文件。 例如，用于生产的仪器和设备的工程图纸以CAD文件的形式放在个人计算机中，该存储设备没有设置防止未授权的访问和对图纸的更改，即该计算机没有任何访问控制的机制。

为实现执行访问控制的目的，第一步就需要识别访问系统的用户。系统应能够根据有效的识别符号区分合法用户和非法用户。当前可采用的识别机制有很多种，我们可以参看下面的图示。最普通的是基于用户名和密码的认证机制，更复杂的有多重密码规则，公钥基础设施认证（采用公钥和私钥的非对称加密技术），生物特征标志（如指纹、面部轮廓、声音、视网膜），以及结合生物特征的公钥体系，这些用户验证模式在安全等级上逐次提高，但用户使用的复杂度和建设这套体系所需的费用方面也急剧增加。除非涉及国家安全和军事机密等特殊领域，需要大量硬件和软件投入的生物特征识别性价比目前并不高。从21CFR第11部分的要求来看，用户名与密码的验证机制已经足够了，每一个系统认证用户都授予唯一性的用户名和密码。大多数情况下，操作系统内置的策略和规则一般都能保证用户名与密码对用户标示的唯一性。在这里，我们建议实验室中的数据系统直接借用操作系统或Active Directory内置的用户验证功能，而不需这些数据管理软件本身再重复，可以避免用户记忆多套用户名和密码。

2.密码策略与密码保护

根据Part11的要求，多人共享密码是明显的违规行为。在FDA的一封警告信中描述了一个案例：某个员工的用户ID和密码公开给了其他员工，以便他们去访问系统中的数据。一些本身在系统中没有账户的员工也利用该公开的用户名去访问系统中的数据。更加让人不解的是，三名员工在1997年到1998年间离职后，到了1999年的3月18日，采用这些人的帐号仍能够访问关键的和限制性的数据管理系统的功能。 密码一旦在员工之间分享，其身份确认能力和保密性就起不到任何作用。如何保持密码的安全性，21CFR part11中阐明了用于执行电子签名时对身份识别机制的一些要求：即只能由电子签名的真实所有者使用。

 实际的问题是当公司采用了多个信息系统（email,LIMS,CDS,ERP等等)，随之而来的就是多组用户名和密码，而且一些系统还会要求用户定期更换密码，并与之前的密码不能一致。用户在如此多的用户名和密码之间很可能会晕头转向，不仅给日常的应用带来极大的不便，同时还会加重系统管理员的工作负担。这个问题可以通过统一身份认证来解决。很多实验室数据管理软件都提供了与域用户集成的功能，域管理员可以对这些用户帐号采取统一的管理策略，例如密码验证失败几次后系统将不允许继续登录，密码策略还包含密码的字符类型，长度，过期时间等。如果实验室软件本身不提供或仅提供很少的帐户管理策略，那么充分利用统一的身份认证工具是在访问控制方面符合21CFR Part11的最好选择。所以购买数据系统之前，用户必须检查供货商所提供软件的帐号管理方式，最好能利用当前IT架构所提供的用户验证体系。

常见的密码保护策略：

3.对合法进入系统的用户进行权限的区分

完成用户识别之后，并非就解决了系统应用的安全问题。系统还需要根据用户的职位和职责决定该用户可以对哪些系统资源进行何种类型的访问。如果不对合法用户权限差异化的区分，既难做到数据的保密又容易由于用户的误操作导致数据的丢失。FDA在注释的第83条进行解释:“控制系统的进人是基本的安全功能，因为即使没有任何非法记录，也要怀疑系统的完整性。例如，某人可以进人系统，改变密码的配置，或忽略安全机制，使未经授权的人可以修改电子记录或阅读未经授权的信息。”对个人进行权限检查首先需要系统向个人进行个性化的授权。随着企业规模的扩大以及软件本身的发展，授权方式也有很多种，如角色，分组，任务等。

在常见的授权方式中，按照用户进行授权在大用户量存在的前提下肯定是不现实的，而按照角色授权是很好的解决办法。角色包含一定数量的权限的，是完成一项任务必须访问的资源及相应操作权限的集合。角色作为一个用户与权限的代理层，表现为权限和用户的关系，用户通过成为适当的角色从而得到相应的权限，用户角色的分配要基于每个用户的职责、资质以及所接受的培训程度。角色是从使用者的角度来划分的。在药物研发实验室中典型的角色有：化学研究员，高级分析员，SD，技术员，系统管理员。基于角色的权限设计适合于分工细化的工作环境（生产型环境和QC实验室比较具有代表性），在这种环境中工作分工都有严格的定义，整个工作流程按照设定的方式运转。有专职技术人员负责分析仪器的准备工作（如柱平衡或者对检测器进行校正），设置分析序列，并对分析结果做最终的确认，更高级的研究员去进行方法开发，自定义计算等，并对结果的审核进行签名。角色可依新需求赋予新的权限，也可以根据需要从角色收回。角色可以大大简化权限管理，降低了授权管理的复杂性和管理开销，提高企业安全策略的灵活性。如果一个公司内部分工不明确，人员职责有交叉，采用角色的意义就小了。

基于任务的访问控制是从应用和企业层角度来解决安全问题，以面向任务的观点，从任务（活动）的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。在这种安全控制策略中，对象的访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化。结合角色、对象授权机制，可以实现立体化的授权体系，满足高度复杂化的权限设定要求。

4.预防伪造的相关措施

尽管有诸多措施，但用户还是可能有意或无意地使用其他用户的身份对数据记录进行签署或确认。工作中常见的一个例子就是当有人无意中让其计算机的会话处于活动状态，转而离开计算机去做其他事情，别人就能利用其已登录帐号做任何改动。上述情景会成为用户否认其电子记录有效性的一个借口。

第11部分在第63条注释中提到，降低”不使用自己的电子签名而登录系统和改变已签字确认的记录的可能性”。相关机构认为在这种背景下，有必要采取严格措施防止签名伪造的可能性。这些控制措施包括：1.要求在一次签名认可操作过程中与工作站电脑的距离在目视范围之内，或者说尽可能接近该人机会话位置。2.如果规定时间内用户没有进行任何操作，则系统提供自动转入会话锁定状态或者自动登出系统。3.在连续数据变更动作发生时要求用户提交至少具有一个签名成分（签名的成分通常包括用户ID，密码）的电子签名，并且该签名成分（例如密码）仅有真实的所有者知道（21 CFR Part11 200条规定）。

5.供应商技术对账号管理的支持

实验室数据管理系统在安装实施完毕后，用户方往往都需要供应商的定期或不定期的技术支持。如果技术支持人员到不了现场，则需要进行远程协助。对于Windows系统而言，远程进行诊断和处置需要涉及Windows系统账号和数据管理系统本身的账号，而且相应的权限还要求比较高。我们通常的错误做法是直接将用户方的系统管理员账号直接借给厂商技术人员使用，如果在工作上确实有需要，双方当面在现场操作是没有问题的，但如果通过远程桌面的形式，系统管理员对于供应商技术人员的的相关操作并不知情，两者相当于是共享登陆，综合前文所述，这意味着系统管理员可以否认在此期间已签字行为，而声明不是自己做的。

比较合适的方法是在操作系统和数据管理系统中创建专门的运维账号，并且只在支持期间将其激活，如果账号不用，则使其失效，并对该账号进行最小化权限配置。

总结：

1.在日常运行中，要持续识别和评估可能影响数据系统和电子签名可信度和可靠性的风险，并做出应对这些风险的措施。

2.使用信息系统自带的安全机制控制访问，最好能利用现有的统一身份认证系统。

3.实施周密的密码策略，保证用户的访问安全性和真实性，这种密码策略最好也采用身份认证系统去设置。

4.建立基于用户角色和访问对象的权限识别机制

5.制定预防签名伪冒的措施，如计算机会话的超时自动锁定功能。

6.妥善地管理远程技术支持账号，不能影响系统的保密性和安全性