1. 基于角色的訪問控制(RBAC)模型:
系統根據不同用戶角色分配相應的權限。例如,監管人員只能查看和審批提交的文件,而無法修改或刪除文件;制藥企業用戶只能訪問自己提交的文件,無法查看其他企業的數據。
2. 多因素認證(MFA)機制:
結合密碼、動態驗證碼和生物特征認證等多種方式,提高系統訪問的安全性。只有通過認證的用戶才能根據其角色權限訪問相應的文件。
3. 會話管理策略:
設定會話超時時間,防止因長時間不操作而導致的安全風險,確保用戶在有效會話期間內根據權限訪問文件。
4. 審計追蹤與日志管理:
系統記錄所有用戶的操作日志,包括登錄時間、訪問內容、操作類型等詳細信息。這些日志采用防篡改技術存儲,可以作為事后的審計依據,確保文件訪問和操作的可追溯性。
5. 權限管理功能:
一些eCTD解決方案(如docuBridge)可實現集團與分子公司統一部署,按項目管理需要靈活配置用戶權限。例如,可以設置使用電腦用戶名及密碼登錄eCTD系統,還能對用戶行為、申報資料編制情況、文件使用情況等實時記錄,可生成/導出審計追蹤報告。
6. 精細化的權限設計:
部分軟件(如eCTDmanager)有精細化的權限設計,可以根據客戶需求按module分工,或者按照Edit、Read角色分工,從而實現對文件權限的管理。
