【關鍵民生系統韌性大升級｜機關推動方向：衛福部健保署】透過韌性方案練兵培養上雲技術力

對民眾而言，生病或受傷就醫是相當基本的民生需求，因為就醫需求不分白天或黑夜，後端資訊系統也需要24小時全天候服務，為確保服務不致因為設備故障或災害而導致服務停擺，掌管健保及醫療系統的健保署建立備援機制，在兩地建置機房進行異地備援，健保的承保系統、醫療系統分別部署於兩個機房，採熱備援方式，系統也以多臺伺服器作負載平衡，並且每年定期切換演練。資料備份策略上，每天執行本地端應用系統及資料備份，並將備份資料同步到異地端，每年執行還原演練。

然而，這套備援、備份計畫是按傳統異地備援的方式來設計，如果發生大規模災害及特殊的緊急狀態，造成兩地的機房毀損，當境內既有建立的備援、備份機制相繼失效，就需仰賴境外系統維繫基本服務運作，衛福部健保署的健保系統、醫療系統列入18項關鍵民生系統，政府希望透過跨境公有雲強化服務韌性。

韌性方案提供練兵機會

衛福部健保署副署長龐一鳴表示，健保署行之有年的備援及備份機制已相當熟練，然而此次關鍵民生系統韌性方案，以境外公有雲提供韌性支援，核心功能上雲、資料加密分持備份、還原演練等，「這些目前還是概念層，沒有實作無法知道它的可行性，代價有多大，透過參與韌性方案，如同在沙盒環境驗證」。

健保署過去缺乏雲原生開發和雲端部署的經驗，龐一鳴直言，雲端服務相當成熟，雲端、混合雲已漸漸成為趨勢，但健保署內部的基層同仁沒有接受完整的雲端課程，缺乏相關的訓練認證，缺乏練兵的機會。「我們對雲有想像、有期待，但內部專業能力不夠，韌性方案提供一個很好的機會來練兵」，他說。

龐一鳴表示，雲服務最基本的資料備份還原，以及健保署本身的資料量龐大，切分後備份到3個跨境公有雲，備份還原過程會不會遺失資料，甚至是未來朝混合雲發展，對雲服務有很多想像空間，但是都需要驗證。

舉例來說，韌性方案規畫的資料加密分持備份至跨境公有雲，健保署不曾採用，去年曾測試資料加密分持備份，由於健保資料龐大，健保署預估，資料加密分持備份時，需要原本資料量的1.5倍額外空間，如僅依賴網路傳輸龐大資料，在全天候全速傳輸之下，約需要接近一個月時間才能將資料送至雲端，在預算的容許下，每個月一次將資料備份上雲，這意謂著未來回復資料的時間差至少1個月。如果以重大災害後，重建回復完整資料為目標，要將健保署的完整資料進行加密分持備份，則需要更大的儲存空間。

相較於以雲原生架構開發核心功能上雲，因雲端化技術成熟，挑戰相對較小，健保署更大的挑戰是資料加密分持備份，需要考慮資料大小、完整性、時間性及範圍、網路傳輸、運算處理、儲存空間、費用等等。

至於健保署規畫哪些核心功能上雲，龐一鳴指出，未來在緊急狀態如戰爭期間，依健保法規定，健保不用於支付戰時的醫療費用，健保署的角色偏重在緊急狀態結束之後復原階段，確保資料保存及回復，韌性方案正好提供很好的機會，進行技術上的概念驗證。

審慎評估適合的跨境公有雲

當發生大規模災害或是突發的緊急狀態，境內兩地資料中心失效，跨境公有雲擔負起重要的核心系統備援及資料保存角色，在政府強化數位韌性中扮演關鍵角色，健保署已經訂出了境外公有雲的評估重點，包括功能需求、效能可靠性、安全性、成本、地理位置、支援和服務等等。

在功能需求部分，考量境外公有雲提供運算、儲存、資料庫、機器學習等服務或工具；效能可靠性方面，例如雲服務的效能、可用性、故障恢復能力等；安全性部分，考量資料加密、身分驗證、存取控制；成本方面，比較不同公有雲平臺的定價及費用結構，由於韌性方案為4年的中期計畫，目的為協助各公務機關驗證並建立跨境公有雲備援及備份機制，在韌性方案結束之後，各機關仍需租用雲端服務，需編列經常門經費，必須考慮長期的成本效益，健保署希望未來行政院編列經常門費用支持。

地理位置方面，健保署指出，考量跨境公有雲的資料中心地理位置，綜合需要的性能及合規性判斷；支援及服務方面，韌性方案雖然規畫為境外公有雲，但考量到技術支援、培訓及顧問服務，如同前面提到，健保署缺乏雲端服務及工具的基礎，必要之時能獲得協助，雖然為境外公有雲，但必需能提供本地的支援服務。

配合韌性方案的推動，未來4年健保署規畫以雲原生架構，以模組化、輕量化功能開發雲端版的核心系統，在災害或緊急狀態下，仍能以雲端提供核心系統的基本服務。

至於地端的系統，健保署未來規畫會從單體式系統，轉為以微服務架構，利用微服務具備的彈性、容易水平擴充、易於部署等特性，來提升系統的可用度及穩定度。

健保署的應用系統目前均建構在私有雲，未來逐步調整為混合雲架構，以提升系統營運的韌性。

 相關報導