衛福部健保署副署長龐一鳴認為,雲是趨勢,透過雲可節省支出,韌性方案提供健保署一個在沙盒環境中驗證新技術的練兵機會。(攝影/洪政偉)

對民眾而言,生病或受傷就醫是相當基本的民生需求,因為就醫需求不分白天或黑夜,後端資訊系統也需要24小時全天候服務,為確保服務不致因為設備故障或災害而導致服務停擺,掌管健保及醫療系統的健保署建立備援機制,在兩地建置機房進行異地備援,健保的承保系統、醫療系統分別部署於兩個機房,採熱備援方式,系統也以多臺伺服器作負載平衡,並且每年定期切換演練。資料備份策略上,每天執行本地端應用系統及資料備份,並將備份資料同步到異地端,每年執行還原演練。

然而,這套備援、備份計畫是按傳統異地備援的方式來設計,如果發生大規模災害及特殊的緊急狀態,造成兩地的機房毀損,當境內既有建立的備援、備份機制相繼失效,就需仰賴境外系統維繫基本服務運作,衛福部健保署的健保系統、醫療系統列入18項關鍵民生系統,政府希望透過跨境公有雲強化服務韌性。

韌性方案提供練兵機會

衛福部健保署副署長龐一鳴表示,健保署行之有年的備援及備份機制已相當熟練,然而此次關鍵民生系統韌性方案,以境外公有雲提供韌性支援,核心功能上雲、資料加密分持備份、還原演練等,「這些目前還是概念層,沒有實作無法知道它的可行性,代價有多大,透過參與韌性方案,如同在沙盒環境驗證」。

健保署過去缺乏雲原生開發和雲端部署的經驗,龐一鳴直言,雲端服務相當成熟,雲端、混合雲已漸漸成為趨勢,但健保署內部的基層同仁沒有接受完整的雲端課程,缺乏相關的訓練認證,缺乏練兵的機會。「我們對雲有想像、有期待,但內部專業能力不夠,韌性方案提供一個很好的機會來練兵」,他說。

龐一鳴表示,雲服務最基本的資料備份還原,以及健保署本身的資料量龐大,切分後備份到3個跨境公有雲,備份還原過程會不會遺失資料,甚至是未來朝混合雲發展,對雲服務有很多想像空間,但是都需要驗證。

舉例來說,韌性方案規畫的資料加密分持備份至跨境公有雲,健保署不曾採用,去年曾測試資料加密分持備份,由於健保資料龐大,健保署預估,資料加密分持備份時,需要原本資料量的1.5倍額外空間,如僅依賴網路傳輸龐大資料,在全天候全速傳輸之下,約需要接近一個月時間才能將資料送至雲端,在預算的容許下,每個月一次將資料備份上雲,這意謂著未來回復資料的時間差至少1個月。如果以重大災害後,重建回復完整資料為目標,要將健保署的完整資料進行加密分持備份,則需要更大的儲存空間。

相較於以雲原生架構開發核心功能上雲,因雲端化技術成熟,挑戰相對較小,健保署更大的挑戰是資料加密分持備份,需要考慮資料大小、完整性、時間性及範圍、網路傳輸、運算處理、儲存空間、費用等等。

至於健保署規畫哪些核心功能上雲,龐一鳴指出,未來在緊急狀態如戰爭期間,依健保法規定,健保不用於支付戰時的醫療費用,健保署的角色偏重在緊急狀態結束之後復原階段,確保資料保存及回復,韌性方案正好提供很好的機會,進行技術上的概念驗證。

審慎評估適合的跨境公有雲

當發生大規模災害或是突發的緊急狀態,境內兩地資料中心失效,跨境公有雲擔負起重要的核心系統備援及資料保存角色,在政府強化數位韌性中扮演關鍵角色,健保署已經訂出了境外公有雲的評估重點,包括功能需求、效能可靠性、安全性、成本、地理位置、支援和服務等等。

在功能需求部分,考量境外公有雲提供運算、儲存、資料庫、機器學習等服務或工具;效能可靠性方面,例如雲服務的效能、可用性、故障恢復能力等;安全性部分,考量資料加密、身分驗證、存取控制;成本方面,比較不同公有雲平臺的定價及費用結構,由於韌性方案為4年的中期計畫,目的為協助各公務機關驗證並建立跨境公有雲備援及備份機制,在韌性方案結束之後,各機關仍需租用雲端服務,需編列經常門經費,必須考慮長期的成本效益,健保署希望未來行政院編列經常門費用支持。

地理位置方面,健保署指出,考量跨境公有雲的資料中心地理位置,綜合需要的性能及合規性判斷;支援及服務方面,韌性方案雖然規畫為境外公有雲,但考量到技術支援、培訓及顧問服務,如同前面提到,健保署缺乏雲端服務及工具的基礎,必要之時能獲得協助,雖然為境外公有雲,但必需能提供本地的支援服務。

配合韌性方案的推動,未來4年健保署規畫以雲原生架構,以模組化、輕量化功能開發雲端版的核心系統,在災害或緊急狀態下,仍能以雲端提供核心系統的基本服務。

至於地端的系統,健保署未來規畫會從單體式系統,轉為以微服務架構,利用微服務具備的彈性、容易水平擴充、易於部署等特性,來提升系統的可用度及穩定度。

健保署的應用系統目前均建構在私有雲,未來逐步調整為混合雲架構,以提升系統營運的韌性。

 相關報導 

熱門新聞

Advertisement