1. 基于角色的访问控制(RBAC)模型:
系统根据不同用户角色分配相应的权限。例如,监管人员只能查看和审批提交的文件,而无法修改或删除文件;制药企业用户只能访问自己提交的文件,无法查看其他企业的数据。
2. 多因素认证(MFA)机制:
结合密码、动态验证码和生物特征认证等多种方式,提高系统访问的安全性。只有通过认证的用户才能根据其角色权限访问相应的文件。
3. 会话管理策略:
设定会话超时时间,防止因长时间不操作而导致的安全风险,确保用户在有效会话期间内根据权限访问文件。
4. 审计追踪与日志管理:
系统记录所有用户的操作日志,包括登录时间、访问内容、操作类型等详细信息。这些日志采用防篡改技术存储,可以作为事后的审计依据,确保文件访问和操作的可追溯性。
5. 权限管理功能:
一些eCTD解决方案(如docuBridge)可实现集团与分子公司统一部署,按项目管理需要灵活配置用户权限。例如,可以设置使用电脑用户名及密码登录eCTD系统,还能对用户行为、申报资料编制情况、文件使用情况等实时记录,可生成/导出审计追踪报告。
6. 精细化的权限设计:
部分软件(如eCTDmanager)有精细化的权限设计,可以根据客户需求按module分工,或者按照Edit、Read角色分工,从而实现对文件权限的管理。
