蒲公英 - 制药技术的传播者 GMP理论的实践者

搜索
查看: 1397|回复: 13
收起左侧

[数据完整性] 【忠告】某些软件审计欠佳,注意防护

[复制链接]
药仙
发表于 2021-9-24 08:59:04 | 显示全部楼层 |阅读模式

欢迎您注册蒲公英

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
对于软件系统的审计追踪信息,软件系统一般将之存放在数据库中。

但是,分两个情况:
1.数据库表中记录相关帐号的访问、设置、配置、登录等信息,集中在一个数据表中统一格式,不可修改。
2.数据库表中记录关联到对应帐号,帐号禁用、离职锁定、删除(一些有缺陷的软件系统仅能用户自己修订密码,管理员不能重置)后,尤其是删除后(比如密码被锁定后的重建),其对应的日志将同步被删除。

所以,软件系统的变更要充分考虑该系统的设计情况。
验证阶段要做好USR、可追溯矩阵等的映射,避免管理文件或验证环节的缺失。

无论如何,任何改变之前备份数据库甚至备份整个系统是非常重要的事件。

回复

使用道具 举报

药生
发表于 2021-9-24 09:08:54 | 显示全部楼层
谢谢,学习,最近正在看计算机化系统的验证。
回复

使用道具 举报

药徒
发表于 2021-9-24 10:01:42 | 显示全部楼层
莯堞 发表于 2021-9-24 09:08
谢谢,学习,最近正在看计算机化系统的验证。

软件设计不足,SOP来凑
回复

使用道具 举报

药生
发表于 2021-9-24 10:25:29 | 显示全部楼层
mecayman 发表于 2021-9-24 10:01
软件设计不足,SOP来凑

哪里看见你,都是吐槽~
回复

使用道具 举报

药生
发表于 2021-9-24 10:44:33 | 显示全部楼层
能搞懂软件设计逻辑的,估计也有能力找到审计追踪数据记录表,直接对表修修改改 体验上帝的感觉

点评

这种感觉很不好的,都是些强迫症晚期,嘿嘿嘿,褒义。  详情 回复 发表于 2021-9-24 20:42
回复

使用道具 举报

药徒
发表于 2021-9-24 15:07:36 | 显示全部楼层
joshua 发表于 2021-9-24 10:44
能搞懂软件设计逻辑的,估计也有能力找到审计追踪数据记录表,直接对表修修改改 体验上帝的感觉

数据库加密是必须的,各国指南也是这么要求,所以不用担心了

点评

加密和存储 是两回事哦, 密码不能明文直接存储,需要哈希转换后加密存储到数据表里面;但是普通的使用日志绝对是 明文存储到数据表中的, 数据库相当于银行后台,平常用户只能通过 工作站这唯一的通道访问数据库,基  详情 回复 发表于 2021-9-25 10:15
回复

使用道具 举报

药徒
发表于 2021-9-24 15:08:54 | 显示全部楼层
莯堞 发表于 2021-9-24 10:25
哪里看见你,都是吐槽~

这不是吐槽,这是很好的生产实践。
我们不可能遇到一个系统不满足要求就花钱买买买
老板知道了要掀桌板的
一般就是SOP凑合凑合,直到法规都忍不下
回复

使用道具 举报

药仙
 楼主| 发表于 2021-9-24 20:42:26 来自手机 | 显示全部楼层
joshua 发表于 2021-09-24 10:44
能搞懂软件设计逻辑的,估计也有能力找到审计追踪数据记录表,直接对表修修改改 体验上帝的感觉

这种感觉很不好的,都是些强迫症晚期,嘿嘿嘿,褒义。
回复

使用道具 举报

药生
发表于 2021-9-25 10:15:54 | 显示全部楼层
mecayman 发表于 2021-9-24 15:07
数据库加密是必须的,各国指南也是这么要求,所以不用担心了

加密和存储 是两回事哦, 密码不能明文直接存储,需要哈希转换后加密存储到数据表里面;但是普通的使用日志绝对是 明文存储到数据表中的, 数据库相当于银行后台,平常用户只能通过 工作站这唯一的通道访问数据库,基本上没有机会修改,但是如果能够直接 访问 服务器电脑,并且 通过Sqlserver studio 等数据库管理软件连接数据库,直接绕过工作站界面,那么 修改日志数据表绝对是能达到而且对懂得人不太费劲的事情

另外 法规要求是一回事,技术上怎么实现 实现到什么安全程度法规可达不到那么细而且也没有能力去监管
回复

使用道具 举报

药徒
发表于 2021-9-26 09:30:43 | 显示全部楼层
joshua 发表于 2021-9-25 10:15
加密和存储 是两回事哦, 密码不能明文直接存储,需要哈希转换后加密存储到数据表里面;但是普通的使用日 ...

数据库加密就是指不能走后门
软件是不是密码登录和数据库是否加密两回事
数据库加密你有需求,设计数据库的时候动两下手指的事情
不加密的数据库我也不认为能被作为GxP的证据,这时候SOP来凑就得明确系统的缺陷,阐明原始数据是人工记录为主,所以买了这样的系统就是呵呵呵呵的事情

点评

如果你能登陆服务器电脑,那肯定知道服务器和数据库的登陆密码啊,至于怎么知道密码的,要么和IT串通,要么暴力破解,不能细说  详情 回复 发表于 2021-9-27 10:04
回复

使用道具 举报

药生
发表于 2021-9-27 10:04:52 | 显示全部楼层
mecayman 发表于 2021-9-26 09:30
数据库加密就是指不能走后门
软件是不是密码登录和数据库是否加密两回事
数据库加密你有需求,设计数据 ...

如果你能登陆服务器电脑,那肯定知道服务器和数据库的登陆密码啊,至于怎么知道密码的,要么和IT串通,要么暴力破解,不能细说
回复

使用道具 举报

药徒
发表于 2021-9-27 12:55:15 | 显示全部楼层
joshua 发表于 2021-9-27 10:04
如果你能登陆服务器电脑,那肯定知道服务器和数据库的登陆密码啊,至于怎么知道密码的,要么和IT串通,要 ...

串通和暴力面前没有任何软件有密码吧  这么聊就。。。。
回复

使用道具 举报

发表于 2021-10-20 14:40:30 | 显示全部楼层
谢老师分享
回复

使用道具 举报

发表于 2021-10-26 19:32:47 | 显示全部楼层
谢老师分享,路过
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

×发帖声明
1、本站为技术交流论坛,发帖的内容具有互动属性。您在本站发布的内容:
①在无人回复的情况下,可以通过自助删帖功能随时删除(自助删帖功能关闭期间,可以联系管理员微信:8542508 处理。)
②在有人回复和讨论的情况下,主题帖和回复内容已构成一个不可分割的整体,您将不能直接删除该帖。
2、禁止发布任何涉政、涉黄赌毒及其他违反国家相关法律、法规、及本站版规的内容,详情请参阅《蒲公英论坛总版规》。
3、您在本站发表、转载的任何作品仅代表您个人观点,不代表本站观点。不要盗用有版权要求的作品,转贴请注明来源,否则文责自负。
4、请认真阅读上述条款,您发帖即代表接受上述条款。

QQ|手机版|蒲公英|ouryao|蒲公英 ( (京)-非经营性-2014-0058 京ICP证150354号 京ICP备14042168号-1 )

GMT+8, 2024-3-29 17:36

Powered by Discuz! X3.4运维单位:苏州豚鼠科技有限公司

Copyright © 2001-2020, Tencent Cloud.

声明:蒲公英网站所涉及的原创文章、文字内容、视频图片及首发资料,版权归作者及蒲公英网站所有,转载要在显著位置标明来源“蒲公英”;禁止任何形式的商业用途。违反上述声明的,本站及作者将追究法律责任。
快速回复 返回顶部 返回列表