實驗室單機設備數據可靠性合規建設

童斌華 俞金河 吳曉波

（浙江康恩貝制藥股份有限公司 浙江省金華市 321100）

1 引言

可靠性要求數據是真實的、安全的、可追溯的數據，所有的數據均處于客觀真實的狀態。CFDA 的《計算機化系統附錄》對數據的審計追蹤、數據的備份等都做出了詳細的要求。單機版計算機設備數據備份操作繁瑣，需要逐一手動備份，移動存儲設備可能還存在病毒破壞實驗數據的隱患。但建設網絡版的成本較高，動輒上百萬，而實驗室設備單機版數量多，除液相系統外還有很多不同類型，所以怎樣使現有單機版設備合規，并滿足業務要求是本課題急需解決的，單機設備的計算機化系統數據可靠性合規建設是必然的結果。筆者通過QC 活動（小組名稱：信息合規QC 小組；注冊號：GQC-2017-012；課題類型：創新型；活動時間：二〇一七年四月至二〇一七年十二月）來研究實驗室單機設備的數據可靠性合規建設，并獲得了浙江省QC 成果二等獎。

2 問題分析

通過現有手段分析、網上查新、市場調研等多種途徑發現，目前除了AGILENT、WATERS 等專用商品化軟件，還沒有其他方式實現實驗室單機設備的數據可靠性合規建設。但商品化軟件費用動輒上百萬，企業合規成本高，筆者發現利用計算機ActiveDirectory域技術，也可以基本滿足實驗室設備數據可靠性合規建設。

3 系統設計與分析

本文提出的合規建設是通過搭建ActiveDirectory 域服務器，連接各個實驗室單機設備的計算機化系統，通過域的用戶管理、權限管理、數據管理來實現合規需求。

實驗室計算機系統合規性的功能要求可以總結為：時間鎖定、時間同步、審計追蹤、自動備份、賬戶唯一、權限分配、禁止使用移動存儲設備、禁止刪除系統數據、數據安全和數據備份等，針對本次數據可靠性合規建設，還需考慮到降低成本、降低系統維護時間等因素。

利用域控制器技術實現時間同步、數據備份與安全、人員與文件權限控制、審計追蹤等合規性要求，使原先實驗室計算機化設備單機版升級成網絡版。

4 系統實現

為盡快完成實驗室計算機化數據可靠性合規建設，利用箭條圖法，合理安排制作流程。如圖1 所示。

圖1

4.1 用戶管理

人員管理是合規建設中的主要內容。合規建設前，實驗室使用單機版計算機化系統，統一使用管理員賬號進入操作系統，可以任意修改操作系統設置；合規建設對應的用戶為使用實驗室計算機化系統的實驗室人員，在ActiveDirectory 域中建立相應的域賬戶，使用域賬戶登錄操作系統，杜絕使用域賬號之外的賬號登錄操作系統，實現訪問控制。

域系統管理員為用戶建立域用戶來登錄域及訪問域上的資源。域系統管理員根據實驗室人員名單建立域用戶及不同的實驗組；將域用戶加入對應實驗組中，制定不同的組策略并應用至所有域用戶上，實現域用戶使用不同的組策略進入系統。

4.2 權限管理

實驗室所使用的域用戶包含DefaultDomainPolicy 和Default DomainControllerPolicy 兩條策略項，隸屬于DomainUsers 及對應建立的實驗組，所具備的權限只有使用業務軟件的權限。

組策略通過組策略對象（Group Policy Object，GPO）來設置，只要將GPO 鏈接到指定的站點、域或組織單位，該GPO 內的設置值就會影響到該站點、域或組織單位內的所有用戶和計算機。

針對本次建設所使用的內置GPO 分為兩部分，分別為：

（1）DefaultDomainPolicy：主要配置的功能為賬戶策略、訪問注冊表策略、使用命令指示符功能策略、移動存儲訪問策略。限制用戶對計算機基本配置的修改功能。

（2）DefaultDomainControllerPolicy：主要配置的功能為本地磁盤的訪問策略。限制域用戶對本地計算機磁盤的訪問權限，防止用戶修改/刪除數據。

針對不同實驗室工作小組，建立不同GPO；針對實驗室的計算機化系統，建立兩套GPO 進行用戶權限控制；針對域用戶賬戶建立了密碼復雜性、密碼修改周期、密碼池、密碼錯誤閾值、鎖定時間、登錄登出審計追蹤等策略；針對用戶對計算機化系統訪問建立了禁止使用命令指示符、禁止訪問注冊表、禁止使用移動存儲設備、禁止打開控制面板等策略；針對數據安全方面建立了隱藏本地磁盤、防止訪問本地磁盤等策略。

組策略功能模塊包含了權限分配、審計追蹤等功能。

權限分配：應當對進入和使用系統制定授權、取消和授權變更的操作規程。

審計追蹤：用于記錄數據的輸入和修改以及系統的使用和變更。

計算機配置：用于開啟或關閉相關計算機系統內部功能。

對于單機版的計算機化系統，本地計算機的審計追蹤功能需要單獨開啟，在這一方面管理員將會花費大量時間；而在ActiveDirectory 域中，實現了審計追蹤功能的統一開啟，并且還能實現操作系統不同權限的分配，域用戶無法修改成員計算機的基本設置，例如：修改時間、修改IP 地址、修改注冊表等影響系統的操作，同時也無法編輯或刪除系統中數據。

密碼復雜性保障域用戶賬號由個人單獨使用，其他人員無法使用該賬號登錄系統。根據法規要求，密碼更改期限設定為90 天，系統定期通知域用戶更改密碼，如不修改密碼，域用戶則無法登陸系統；域用戶連續多次輸入錯誤密碼，系統會根據策略設置的密碼錯誤閾值，鎖定該賬戶，防止其他人員惡意暴力登錄系統；禁止移動存儲設備，杜絕實驗室人員使用移動存儲設備拷貝數據，防止病毒破壞數據；隱藏本地磁盤并防止訪問本地磁盤確保了域用戶登錄系統后，無法刪除盤符中的實驗數據，保障數據的安全。

4.3 數據管理

根據電子數據安全性要求，電子數據安全性一般分為邏輯安全性和物理安全性。邏輯安全性即是通過軟件自身的權限控制對數據的訪問、錄入、修改和刪除等操作，確保不被人為誤操作或有意的篡改行為而影響數據安全。而物理安全性，即是對數據存儲的介質（如硬盤、光盤、服務器等）進行保護，確保系統本身不會因為物理介質的損壞或故障造成數據丟失。

單機版的實驗室計算機化系統，數據存儲在本地計算機的硬盤中，對于數據保障存在較大風險，如出現硬盤損壞，同時備份不及時，有可能出現丟失部分業務數據的情況。

合規建設的數據管理體現在域成員計算機通過備份腳本將本地的業務數據自動備份至Active Directory 域服務器中，實現異地備份。根據不同的實驗室設備建立備份文件夾，在設置共享時，只添加對應的實驗小組的用戶組，此備份文件夾只能該實驗組的成員訪問。

4.4 系統實現結果

QC 小組根據設計方案組織活動，活動完成后進行了效果檢查。

（1）實驗室設備的計算機化系統已加入到域環境，通過啟用組策略中用戶配置下的禁止訪問控制面板、禁止修改注冊表、禁止使用命令符等策略，實現了域用戶無法打開控制面板，防止用戶修改時間、修改時區、修改IP 地址、修改計算機系統環境等操作。

（2）單機版實驗室計算機化系統時間需要定期進行校準，數量較大，如果所有系統都需要校準時間，將花費大量的時間。現在由Active Directory 域服務器充當時間服務器角色，所有成員計算機自動同步Active Directory 域服務器上的時間，由之前單機版計算機逐臺校正時間的檢查模式轉換成時間統一同步服務器時間模式，并無法篡改，降低了維護計算機化系統的時間。

（3）通過啟用組策略中的密碼策略和本地策略，以此開啟域用戶的密碼復雜性、密碼長度、密碼周期、密碼池、帳戶鎖定閾值、用戶登錄事件（審計追蹤）等功能，保障了域用戶的帳戶唯一性及安全性，防止惡意爆破登錄操作系統。

（4）通過啟用組策略中的拒絕所有權限策略，禁止域用戶使用移動存儲設備，成員計算機無法讀取移動存儲設備中的數據，防止病毒通過移動存儲設備影響實驗室中實驗設備所使用的計算機化系統。

（5）通過啟用組策略中的隱藏指定的驅動器和防止訪問驅動器的策略，磁盤驅動器只能由域管理員才能查看訪問，防止了域用戶直接進入驅動器中進行數據操作（如：修改、刪除等）。

（6）數據備份通過備份腳本將數據備份至服務器上，不同的實驗室計算機化系統使用不同的備份策略，例如域用戶登陸后，系統自動運行腳本進行數據備份、系統定時通過備份腳本進行數據備份等備份策略，保障了數據備份的時效性，且備份腳本都是在Active Directory 域用戶使用系統時運行，確保數據備份時的安全性。備份策略統一使用增量備份（首次數據備份為全備份）。

5 結論

本文討論了利用ActiveDirectory 域技術實現實驗室單機設備數據可靠性的合規建設，從創新效果來說：利用域控制器技術實現時間同步、數據備份與安全、人員與文件權限控制、審計追蹤等合規性要求，使原先實驗室單機設備的計算機化系統滿足制藥行業的合規要求；從經濟效益來說：購買商品化的實驗室設備管理系統，包括軟件、硬件及授權等內容，所需要的費用過百萬，而本文討論的合規建設所使用到的軟硬件總計費用只需上萬元，極大的降低了合規建設的成本；從推廣效果來說，利用ActiveDirectory 域控技術進行管理，管理方式更簡便，能滿足行業法規的基本要求，類似實驗室單機設備的計算機化系統，如生產設備等，都可以利用此方式實施，具有很強的推廣價值。小組成員通過學習，掌握了各種管理工具和方法，對甘特圖、箭條圖、流程圖、PDCA 法等管理工具能做到熟練的運用。通過團隊協作，激發了小組成員的積極性和創造性。回首此次活動，小組通過利用域控制器來管理實驗室單機設備的計算機化系統，創造性的解決了企業經營中的實際問題，提升了合規性，降低了合規成本，在專業技術、管理技術、人員素質方面得到了提升。