以D2MS軟件系統(tǒng)為例講述FDA 21 CFR Part 11對用戶管理安全的要求

FDA 21 CFR Part 11 User Account Management - D2MS 用戶管理功能

引言
FDA 21 CFR Part 11 要求所有的電子數(shù)據(jù)必須滿足一定的規(guī)范要求以保證過程數(shù)據(jù)記錄的完整性和防止篡改。其中審計追蹤（audit trial）是FDA 21 CFR Part 11合規(guī)性的一個重要元素。下面的視頻展示了D2MS軟件系統(tǒng)Operation Tracking這一功能，可以幫助對這些法規(guī)不太熟悉的傳統(tǒng)發(fā)酵行業(yè)，高校、研究所，尤其是生物工程技術(shù)專業(yè)畢業(yè)即將踏上工作崗位的學(xué)生，增進(jìn)了解。
 

如視頻所示，Audit trial必須要回答“誰在什么時間將哪個參數(shù)從哪個值修改為哪個值”的問題，而用戶管理則是實現(xiàn)這一功能的前提。下面我們依照21 CFR Part 11對軟件用戶管理功能的要求，逐條展示D2MS的相關(guān)功能。需要注意的是，以下功能描述并非所有版本的D2MS都支持。

 

01  Password Protected Individuals 密碼保護(hù)的獨立用戶

我們已經(jīng)在其他視頻中多次展示用戶憑密碼登錄D2MS系統(tǒng)。

 

圖1. D2MS 登錄界面 

 

02  Multiple User Level as per the User Rights 用戶權(quán)限分級

在D2MS中，用戶權(quán)限是由用戶所在的組決定的。管理員在新建用戶時，需要指定用戶所在的組。用戶自己注冊時（新用戶名第一次登錄D2MS) 會被臨時放入Pending這一組。這一組不能登錄D2MS需要管理員將其轉(zhuǎn)移到其他合適的組才能登錄。不同用戶組的具體權(quán)限分配見圖3表格。同樣不能登錄D2MS的還有Customer這一組，相關(guān)細(xì)節(jié)我們會在后繼介紹D2MS項目管理功能時詳細(xì)介紹。

圖2. D2MS 用戶管理界面

 

圖3. D2MS 用戶權(quán)限分級

 

03  用戶User Block/Unblock Facility 禁用、解禁用戶

在D2MS中，管理員可以通過將某一用戶分配至Pending這一組而禁止其登錄。將其移至其他可以登錄的組，如Operator，則可重新登錄。管理員還可刪除某用戶。被刪除的用戶將在列表中消失，但其所有操作記錄仍存在于數(shù)據(jù)庫中。

04  Password Validity 密碼有效期

在D2MS中，密碼有效期為90天，且用戶超過90天不登錄將會自動被禁用，需要管理員重新將其激活方可再次登錄D2MS。
 

05  Password complexity 密碼復(fù)雜程度

D2MS中對密碼復(fù)雜程度的要求高于21 CFR Part 11標(biāo)準(zhǔn)，包括
（1）8~20個字符長度；
  (2) 至少一個數(shù)字，一個大寫字母，一個小寫字母；
  (3)至少一個特殊符號；
（4）不能有空格

 

圖4. D2MS 密碼強度要求

 

06  Unique user account 用戶賬戶唯一性

在D2MS中，無論是新建用戶還是修改已存在用戶（可修改用戶名），用戶名必須是唯一的。下面的動畫展示的是當(dāng)添加第二個用戶名為Operator的賬戶時，系統(tǒng)提示該用戶名已經(jīng)存在。
 

圖5. D2MS 用戶唯一性要求

 

除了上述用戶管理功能之外，21 CFR Part 11對審計追蹤的要求，也涉及到用戶的行為記錄，包括以下幾個方面 User Creation用戶創(chuàng)建, User Log in/ Log out用戶登錄、登出，Wrong attempts of log in 登錄失敗記錄 ，User Block/unblock by Administrator管理員用戶禁用、激活。由于這些信息大部分僅對審計追蹤有意義，當(dāng)前版本的D2MS沒有在主程序提供全部這些信息，僅在賬戶管理窗口顯示了用戶最近一次登錄的時間，以及用戶創(chuàng)建者，這些在前面的截圖都可以看到。事實上，由于D2MS支持遠(yuǎn)程登錄，我們還會記錄登錄D2MS的主機及Windows用戶名等其他信息，只是這些信息不對普通用戶開放。此外，數(shù)據(jù)庫內(nèi)用戶密碼為加密存儲，如果用戶忘記密碼，管理員可以重置用戶密碼，但是無法找回。

 

圖6. D2MS 用戶行為記錄數(shù)據(jù)庫

 

結(jié)語

以上我們結(jié)合FDA 21 CFR Part 11對生物過程軟件數(shù)據(jù)合規(guī)性的要求，詳細(xì)介紹了D2MS的用戶管理功能。一方面用作D2MS的使用教程，另一方面普及相關(guān)法規(guī)，一舉兩得，恰恰符合迪必爾“共創(chuàng)數(shù)據(jù)驅(qū)動型生物產(chǎn)業(yè)”的理念。這一系列將持續(xù)更新，敬請期待。