威努特助力医药制造行业在合规监管下实现降本增效

威努特安全网络 2024-06-03 09:48:54  29470

分类专栏：资讯

在医药制造行业，尽管投资热潮已经消退，但行业并未因此而停滞不前。相反，它仍然保持着积极的进取态势，不断探索和寻找实现弯道超车的最佳路径。与此同时，随着医药行业生产过程数据合规监管要求的日益严格，对医药行业内信息化从业人士的专业素质提出了更高的挑战。特别是在如何加快项目实施速度、如何选择一套既合规又经济、同时具有良好扩展性的解决方案方面，医药企业的IT人员面临着巨大的难题。为了解决这些问题，他们不仅需要具备深厚的技术功底，还要紧跟行业发展趋势，不断创新和优化工作策略。

在医药生产过程中，研发生产人员对生产过程数据的修改是一个关键问题，涉及到数据完整性、可溯源性以及合规性等方面。医药企业的IT人员可以在自身专业技能的基础上，对并不擅长的生产业务数据进行合规性管理，帮助企业快速通过监管部门的认证审查。这不仅有助于提升企业的竞争力和市场地位，也有助于保障患者的用药安全和行业的健康发展。

医药行业的要求概述

医药行业是一个高度监管的行业，要求企业严格遵守一系列法规和法律要求。这些要求包括但不限于：

符合FDA 21 CFR Part 11要求：21 CFR Part 11 是指《联邦法规 21 章》第 11 款电子记录和电子签名，FDA 遵循 21 CFR Part 11，基于法规提出数据完整性的要求。对于数据的安全性、可追溯性、完整性，电子签名的唯一性、不可修改以及和记录的链接提出了一系列的要求。所有销售至美国市场的生产商所使用的GxP相关软件都需要符合该要求。

符合GMP标准：GMP是英文 GOOD MANUFACTURING PRACTICE 的缩写，中文含义是“良好生产规范”。世界卫生组织将GMP定义为指导食物、药品、医疗产品生产和质量管理的法规。中国卫生部于1995年7月11日下达卫药发（1995）第35号"关于开展药品GMP认证工作的通知"。药品GMP认证是国家依法对药品生产企业（车间）和药品品种实施GMP监督检查并取得认可的一种制度。要求生产药品的企业建立质量管理体系，确保产品的可追溯性和一致性。

提交合规报告：医药企业需要定期向监管机构提交合规性报告，包括药物研发进展、临床试验数据、药品生产质量等信息。

数据安全和隐私：由于涉及患者敏感数据，医药行业必须严格遵守数据保护和隐私法规，如HIPAA（美国健康保险可移植性和责任法案）。

上述要求均对数据完整性和数据审计跟踪提出了相应的要求：

其中数据完整性是指数据的准确性和可靠性，用于描述存储的所有数据值均处于客观真实的状态。数据审计跟踪是一系列有关计算机操作系统、应用程序及用户操作等事件物记录、报告或事件，或从记录、报告、事件追溯到原始数据。

业务背后的合规需求

2.1

安全性：

准入控制、权限管理、备份还原

只有经许可的人员才能进入和使用系统，所有尝试访问医药生产数据的用户或系统必须首先通过身份验证，例如使用用户名和密码、生物识别技术或加密令牌等。

根据用户的角色分配权限，例如生产人员、质量控制人员、管理人员等，每个角色拥有不同的权限集。只授予用户或系统完成其任务所需的最小权限，以减少潜在的安全风险，定期审计用户或系统的权限设置，确保它们符合安全策略和业务需求。任何权限的变更都应经过严格的审批流程，并记录变更详情。

根据数据的重要性和变化频率，制定定期备份计划，如每日、每周或每月备份。定期验证备份数据的完整性和可用性，以确保在需要时能够成功还原。制定灾难恢复计划，包括在不同地点的备份存储和快速恢复流程，以应对可能的数据丢失或损坏情况。

2.2

完整性：

数据的保存方法、数据无法被删除

和无痕迹的修改

医药生产数据需要长期保存，以便在产品出现问题时能够追溯生产过程中的每一个环节。这通常要求采用可靠的存储介质和备份策略，确保数据不会因为硬件故障或其他原因而丢失。由于医药生产数据涉及商业机密和患者隐私，因此需要采取严格的安全措施来保护数据的机密性和完整性。这可能包括数据加密、访问控制、物理安全等。

保存的数据应该具有可追溯性，即能够追溯到数据的来源、生成时间、修改记录等。这有助于确保数据的真实性和可靠性。医药生产数据应该具有不可删除性，即使在数据不再需要的情况下也不能随意删除。这是因为这些数据可能在未来的调查或审计中起到关键作用。

为了验证数据的不可删除性，应该实施审计跟踪功能。这可以记录数据的访问和修改历史，以便在需要时提供证明。医药生产数据应该禁止无痕修改，即任何对数据的修改都应该留下明确的痕迹。这有助于确保数据的真实性和可信度。每次修改数据时，都应该记录修改的时间、修改者、修改内容等信息。这样可以在需要时追踪数据的修改历史，确保数据的完整性。

2.3

责任性：

基于非业务系统对业务系统的

第三方监管更具说服力

在医药生产环境中，数据责任性需求是至关重要的，因为它确保了数据的准确性、合规性和可追溯性。因为业务系统本身存在诸多后门甚至特级权限，可以让业务人员在对生产数据进行认为修改时不留痕迹，从业务系统自身的角度很难发现这种行为，基于业务系统自身的数据结论一定程度上存在说服力差的问题。如果IT人员能够借助非业务系统对业务人员的生产数据进行并行监管时，监管的结论将更具有说服性，也更容易在企业做认证时被审查机构认可。

安全视角下应对举措

从监管需求出发，站在非业务人员的角度，针对医药制造行业核心要解决的问题是：如何从业务系统外部实现对医药生产过程的完整数据进行记录，包括业务人员的人为有意修改原始记录行为的审计，记录和审计结果不受业务系统或业务人员的影响，这样的数据在认证机构或人员面前才更具有说服力。

针对上述核心问题，可以借鉴网络安全领域现有的主流审计手段，通过不同阶段，不同层面对医药生产全流程进行过程记录和审计来解决。从安全视角来看，其技术手段本身主要用于解决外部攻击导致的网络和数据安全问题，用于对医药生产制造过程进行并行记录和审计，其结果的说服性不言而喻。下图为解决方案的基本原理示意图：

图1 医药生产过程数据审计方案原理

3.1

用户操作发起审计方案

当前主流的医药生产企业的生产过程均实现了较高的自动化，业务人员操作的主要入口为生产设备的上位机，通过输入相关的工艺指令来对生产过程进行人为干预，因此，针对用户侧的操作行为是所有审计措施的第一步，也是将行为关联到人员的必要手段。基于上位机的主机安全卫士软件在医药生产环节中对用户操作行为进行记录和审计，是确保生产数据安全性、完整性和责任性的重要手段。这样能够实时监控、记录和分析用户在医药生产环境中的操作行为，从而帮助企业识别潜在的安全风险、追溯操作责任并优化生产流程。

威努特主机卫士的双因子认证功能可以实现操作主体的唯一性缺确定，同时支持应用程序、操作系统、用户操作、外设操作产生的日志提取、审计和分析，并外发至集中日志审计平台，提供操作动作发起侧的原始行为记录和审计数据。

3.2

操作执行过程审计方案

针对操作执行过程的审计主要依赖威努特工控安全监测与审计系统的业务工艺行为监测功能。工控安全监测与审计系统能够根据工业现场的具体业务，基于内置的智能学习引擎，能够帮助客户识别、定义和控制流通在工业现场中的合法指令，并记录所有指令的发生时间以及携带的载荷值。

针对私有协议，在威努特自研的“伏羲引擎”加持下，为客户提供二次开发环境，通过将工业协议的签名、指纹、偏移量等各种特征抽象提炼成为各种标准化的语义标签，只要对照协议进行“填空”即可快速适配新的工业控制协议，大大简化新协议扩展过程。无论是冷门还是私有协议，原先数月的适配时间统统压缩到数周，尽快发挥产品的协议覆盖面和细颗粒度的记录审计效果。

3.3

操作结果入库审计方案

生产系统本身带有实时数据库和历史数据库，其中实时数据库的数据来自于生产系统各个模块的直接真是反馈。所有生产过程的行为结果也会自动入库，目前前端与数据库的交互主要还是通过SQL语言进行，因此，可以基于数据库审计系统对进出数据的所有生产SQL行为进行记录和审计，来闭环提取生产操作最后一个环节的结果数据。

威努特数据库审计日志内容能够详尽地显示访问行为发生的具体特征，具体信息包括：访问的时间、次数，访问的源，访问的目标，操作类型，敏感数据判断，SQL内容等，从而对生产过程的结果数据进行提取和审计并发送至统一日志审计关联分析平台。

3.4

全程多维日志管理分析方案

上述生产行为在各个阶段记录和提取的信息彼此之间缺乏关联，日志内容相对杂乱无序，对于辅助证明医药制造过程数据的完整性和严谨性来说还有较大的差距，因此，需要有一个能够将多源异构日志进行泛化、整合、关联的平台，以实现对日志的可读性，审查方向针对性的完善和优化。

威努特日志审计与分析系统支持事件关联、时序关联、统计关联分析功能，提供流量行为、登录行为、生产指令执行行为、生产数据入库行为等百余种关联分析策略。能够帮助IT人员从海量日志中快速定位查找到药品生产过程相关日志。同时还支持本地备份和异地备份，支持手动备份和自动备份，支持天、周、月固定周期备份，支持全量备份和增量备份，保证数据安全的同时，减少硬盘消耗。

图2 安全产品部署示意图

方案优势和价值体现

4.1

同样的审计手段

不同的价值体现

以往的信息安全设备审计功能更多被用于对攻击行为的记录和审计，关注的重心主要是具有攻击指纹特征的异常行为，本方案则是利用审计设备或软件的多维度且细颗粒度的记录能力来对客观数据进行提取汇总，关联呈现，采用同样的技术手段却解决了医药企业生产过程数据完整性审计的痛点。

4.2

基于工艺的值域级监测

更贴近业务场景

本次方案中对于操作过程数据审计的工控安全监测与审计系统搭载了威努特自主研发的深度数据包解析引擎，深度数据包解析引擎支持涵盖OPC、Modbus TCP、SiemensS7、DNP3、IEC104、Ethernet/IP(CIP)、MMS、PROFINET和FINS等在内的30多种工控网络协议，可对工控协议做指令级检测与审计，对各类数据包进行快速有针对性的捕获与深度解析。对药品生产控制系统，可以采取相应针对性的数据包探测机制和解析策略，能够检测出数据包的有效内容特征、负载和可用匹配信息。

操作行为一旦转换成流量报文，被修改的可能性极低，从流量角度的审计结果也更有说服力。

4.3

实现了复杂业务语言的信息化和简单化

更有助于企业向审查人员举证

工业企业一直以来就存在信息人员不能够深入了解生产业务，而业务人员更不了解生产系统背后的信息技术逻辑原理。医药制造企业也存在同样的问题，不一样的是，医药制造企业所生产的药品上市流通必须经过极为苛刻的安全审查，这就需要不同岗位的人员从各自岗位职责角度对审核机构提出的审核要求进行说明和举证。该方案基于安全产品技术手段将业务语言转换成信息化工作人员能够理解的信息语言，给信息部门在药品审核工作中进行数据举证提供了新的且客观的数据源，一定程度上降低了沟通检查成本，更有助于企业进行药品上市注册。

方案总结

北京威努特技术有限公司不仅致力于帮助医药生产企业解决网络安全难题，更深入钻研用户的具体业务场景，以应对生产过程中的各种疑难杂症。公司凭借领先的技术与专业的服务，积极推动医药企业在保障网络安全的同时，实现降本增效。通过威努特的专业助力，医药企业的运营效率得到了显著提升，同时企业的安全价值也获得了进一步的升华，展现了技术与业务深度融合的巨大潜力。

渠道合作咨询田先生 15611262709

稿件合作微信:shushu12121

网站声明：如果转载，请联系本站管理员。否则一切后果自行承担。

本文链接：https://www.xckfsq.com/news/show.html?id=53737

赞同 2

评论 0 条

威努特助力医药制造行业在合规监管下实现降本增效

相关文章

关注我们