勤業眾信以日本311大震災的連環災難為範本,來考量臺灣發生同等災情時對企業造成的衝擊,提出了一套企業思考建議,企業可以此來規畫事前防範措施與事後應變程序。

圖片來源: 

iThome

在企業規畫營運持續管理(BCM)的做法中,有一項是最壞打算的因應。這是指,企業評估災難風險時,必須能夠設想到最壞、最悲慘的情境。但CIO,你考量過的最糟劇本是什麼?

2011年3月11日下午,東日本真實發生了一場最壞打算。如臨末日一般,東日本外海引爆規模9.0強震,臨海產生最高達37.9公尺的大海嘯,淹沒了東日本宮城縣、岩手縣、福島縣三座縣市,導致福島4座核電廠停機,使東日本電力短缺,其中第一核電廠因為備援電力沖毀,冷卻系統無法運作及人員操作失誤,使輻射外洩,官方緊急宣布疏散該座核電廠方圓20公里內數萬人。

衝擊所及,不只是重災區內的企業營運停擺,就連離災區3百多公里的東京地區,都因電力系統受創而必須分區供電,企業營運大受打擊,越是仰賴IT系統的企業,面臨供電間歇中斷的窘境,更是難以持續提供服務,紛紛將企業營運系統轉移到其他地區,甚至考慮轉移到海外。臺灣也有銀行在東京的服務,因擔心地震波及,而將日本業務轉移到臺灣總部,透過網路遠距支援。

宏碁eDC電子化巨架構服務事業單位設施管理處處長高志強指出,自從日本發生311大地震之後,有不少日本的企業頻頻詢問,打算承租宏碁eDC的異地備援服務,將異地備援地點轉移到遠在海外的臺灣。

換個角度來看,回頭檢視臺灣企業設想的最壞打算,大多只考量到火災、水災、風災和系統故障,但以東日本311大地震的災難規模來看,臺灣企業這樣的設想遠遠不夠。

你可能很難想像規模9強震所釋放的能量有多大?以臺灣921大地震的規模7來相比,日本311地震所釋放的能量,是921地震的1千倍。相當於在311大地震劇烈晃動的3分鐘內,發生了1千次921地震。

你可以設想,在這短短的3分鐘內,一間機房會發生哪些慘劇,尤其臺灣許多企業的機房位於建築物中高樓層,再加上高架地板的滑動效應,所產生的建築物放大效應會使機房晃動得更劇烈。

屋頂機房地震加速度值將放大3倍

根據國家地震工程研究中心的資料,若某一地區發生了7級地震,該地企業機房位於建築物屋頂層時,機房之樓板加速度值大約是地表加速度值的3倍,也就是說,在機房內的每座機櫃大約會受到1.2臺同等重量的機櫃撞擊,其對整間機房的損害程度可想而知。

不僅如此,因地震引發的二次災害更是難以預料,包括海嘯、核災、火災、通訊與交通中斷等。你可以設想,臺灣若因一場大地震而引發海嘯,沖毀北部2座核能發電廠後,導致輻射外洩,疏散區擴大到30公里時,全臺北市民眾必須在2至4小時內完成撤離,企業辦公處所與機房必須面臨無人運作的風險。

讓企業繼續活下去,這是異地備援最初也是最終的使命。當主機房遭逢地震、水災和風災等地域型災難,企業可在短時間內切換到位處另外一地的異地備援機房,確保營運能夠維持一定水平,來避開同一場地域型災難。

過去異地備援考量侷限

過去,企業評選異地備援機房建置地點和距離時,大多只設想火災、水災、規模6的地震等小型災難,但若臺灣發生了規模9強震,衝擊範圍將涵蓋全島。此時,與主機房相鄰的異地備援機房,將很難躲過這場浩劫,企業能不能活下去都是問題,更遑論異地備援能多快接手運作、能避免損失多少資料等存活程度的問題。

若以東日本大震災重新檢視臺灣的異地備援,可分為「異」和「地」兩個層次來談。「異」指異地備援機房與主機房之間的距離,勢必要跨越同一場災難所能涵蓋的範圍。「地」則是指異地備援機房的設置地點必須與主機房同樣安全,這裡單指機房實體安全,應考量地理位置、建築物設計、內外部安全機制、人員安全和災難復原能力。

一旦要開始考量規模9的強震,企業必須重新檢視異地備援機房與主機房的距離是不是夠遠,並考量後續引發的連環災難,如海嘯、核災這些企業過去較少納入考量的災難。同時,面對的災難類型不同,企業勢必也要重新評估主機房和異地備援機房的地點是否夠安全。

企業DR距離嚴重不足,921地震規模需距150公里

一般而言,企業通常以其預設的災難規模,來決定異地備援的距離多遠;再考量各種限制條件來評估距離要多近。首要限制是成本,其次才是網路頻寬、線路傳輸穩定度、資料復原技術、維運管理和備援人力遷移的便利性等。

目前只有政府單位有官方異地備援要求,2003年時行政院國家資通安全會報規定,其所屬政府機關資訊部門的異地備援距離至少要30公里,來防範地域型災難。勤業眾信企業風險管理部門副理李介文表示,內政部、中華電信、工商憑證管理機房和商業司憑證橋接機房在其憑證實務作業基準內說明,其營運主機房與異地備援機房的距離為30公里。不過,截至目前為止,除了政府單位之外,各產業主管單位仍未明文規定企業異地備援的距離至少要多遠。

對主機房位於臺北市的企業而言,異地備援的距離大多落在20至40公里之內。臺灣IBM全球資訊科技服務事業部經理高脩哲表示,主機房位居臺北市的企業當中,約有超過5成企業將異地備援機房設於桃園和新竹,包括多數金融業就近選擇在林口、龍潭、桃園等地,其餘在北中南設有分據點的國營企業或政府單位,才會將備援機房設於距離較遠的彰化、臺中和高雄等地。

中北部企業DR可選高屏,南部企業可選桃園

若將更大規模的地震納入考量,距離30公里很難不會遭受同一場大規模地震波及。國家地震工程研究中心主任張國鎮表示,921大地震的重大災區範圍高達150至200公里,他建議,企業主機房和異地備援機房最好能相距150或200公里以上,避免位於同一個斷層系統的影響範圍內。南部地區的企業可以考慮桃園地區,中北部的企業可以考慮高屏地區,來作為異地備援的建置地點。

另外,臺灣一旦發生海嘯,可能波及最廣的地區為臺南至墾丁一帶海岸,海岸遭受海嘯侵襲的長度可達150公里,海水入侵內陸的距離可達10公里。因此,中央大學水文與海洋科學所助理教授吳祚任表示,若企業主機房位於臺南至墾丁沿海一帶,可將異地備援機房拉到200公里之外。

不過,很少企業將機房設置於沿海,大海嘯對企業的影響並不大,反而是海嘯所引發的核電廠受損而使輻射外洩的風險更須注意。

距離的限制在於成本、網路和管理

不過,異地備援距離越遠,看似越能保障企業營運安全,但從實務面來看,企業也不能忽略異地備援距離過長的限制與風險。Gartner在《Six Myths About Business Continuity Management and Disaster Recovery》這篇研究報告中指出,異地備援的距離越遠越安全是一項迷思。報告中解釋,距離越遠確實較能夠避免大規模的地域型災難,然而,災難不常發生,距離太長卻容易造成網路連線中斷、傳輸延遲、備援人力移動困難等問題,並且提高企業投資於資料傳輸與復原技術的成本。

主機房與異地備援機房的距離越遠,傳遞資料所需的網路頻寬必須加大,以免造成系統延遲時間過長。EMC資深技術經理黃光華表示,距離遠近與頻寬大小之間沒有固定比例,必須視業務單位能容忍多少延遲時間而定。然而,距離確實會提高延遲時間,200公里延遲時間為1毫秒,500公里延遲時間為2.5毫秒,1,000公里延遲時間為5毫秒,以此類推。黃光華建議,企業可預先設定不同業務的服務等級,來降低異地備援投資於網路頻寬的成本。

距離越遠,企業也更難維持管理與維運,平時必須另外聘用常駐維運人員。當災難發生時,備援人力還得花上更多時間從主機房奔波到異地備援機房,延長災難復原的時間。因此,多數希望拉長異地備援距離的企業會選擇在分公司建置異地備援,由分公司IT人員維運與啟動備援系統。

DR地點須重新考量超大規模地震、海嘯和核災

臺灣企業異地備援機房的地點分布於西半部地區,包括臺北市、新北市、中壢、桃園、新竹、臺中、彰化、高雄等地。企業若將規模9強震、海嘯和核災風險納入考量,應重新檢視這些地點的地理位置、建築物設計、內外部安全機制、人員安全和災難復原能力等實體安全要項,評估該地點是否容易發生過往未曾考量的風險、如何做好事前防範、一旦發生這些災難,才知道該採取哪些因應措施。

過往企業在評估異地備援的地點時,大多已避開活動斷層帶,但可能未考量到規模9強震或更大地震的衝擊範圍。為抵抗更大規模的地震,其實企業的機房不必搬家,只要透過簡單的作法,就能加強化機房的耐震性能,像是利用螺栓將並排的機櫃互相串連,避免因地震而相互碰撞,或使設備物傾倒。

重新考量海嘯和核災衝擊

而海嘯和核災確實是企業過往較少考量的災難,企業可重新檢視異地備援的地點是否容易受海嘯和核災衝擊。吳祚任指出,臺灣海嘯可能波及最廣的區域為臺南至墾丁一帶,如果機房位於這些地區,應距離海邊10公里以上,或將機房設置於海拔50公尺以上的區域。

至於臺灣北部核電廠分布密集,位於石門與萬里的臺灣第一和第二核能發電廠與臺北市僅相距22與28公里。依照行政院原子能委員會規定核電廠方圓5公里距離內為緊急應變計畫區,一旦發生輻射外洩,需要進行疏散時,會以這5公里為基準,再按照輻射劑量擴散範圍,宣布疏散區的大小。因此,企業可距離核電廠5至10公里遠,以降低面臨輻射外洩的風險。

以東日本311大震災的經驗而言,即使企業機房結構未受強震、海嘯和核災的衝擊,卻可能因為大災難伴隨而來的水電資源短缺、通訊中斷而無法運作。Gartner建議,異地備援機房應搭配另一家電源供應商或變電所,並採用另一家電信業者的服務。較大型的企業可重新評估儲水槽和柴油的存量,確認災難發生時的補充來源與補充所需時間。另外,企業可建置異地備援機房的無線網路環境,來確保通訊,並即早規畫員工應變程序,以維護人員安全及降低企業營運損失。

 

勤業眾信企業風險管理部門副理李介文表示,臺灣企業異地備援計畫存在10項缺失,導致異地備援計畫無法落實,一旦災難降臨,異地備援也無法發揮預期的輔助效果。

 

臺灣IBM全球資訊科技服務事業部經理高脩哲表示,主機房位居臺北市的企業當中,約有超過5成企業將異地備援機房設於桃園和新竹,其餘國營企業或政府單位,才會將備援機房設於彰化、臺中和高雄等地。

 

臺灣地震、海嘯和核災風險分布圖

臺灣多數企業的異地備援機房分布在臺北、林口、龍潭、中壢、桃園、彰化、臺中和高雄等地。為降低地震風險,企業可利用經濟部中央地質調查所每年提供的全臺活動斷層分布圖,來檢視哪些地點臨近活動斷層,而較容易發生地震。圖中,臺中和彰化兩地周遭分布不少第一類活動斷層,較可能發生地震。另外,臺灣較容易發生海嘯的地區為基隆、宜蘭、臺南、高雄、屏東和墾丁,異地備援設於高雄沿海的企業需防範大海嘯。以核災疏散風險而言,臺灣北部2座核電廠若發生輻射外洩,疏散範圍擴大到20公里時,臺北市士林、北投、內湖等地區都必須進行疏散。

 

10項企業異地備援常見缺失

除了地點和距離之外,勤業眾信企業風險管理部門副理李介文表示,臺灣企業異地備援計畫還存在10項缺失,導致異地備援計畫無法落實,一旦災難降臨,異地備援也無法達到預期的輔助。

1.異地備援有做就好的心態,未考慮是否真能支援營運。

2.只考慮IT技術,未考量業務復原需求。

3.災難復原計畫未規畫業務單位的應變措施。

4.系統只做半套,例如,主機房到異地機房只用單一條網路連結。

5.只考慮特定情境,例如,備援系統只支援單一系統切換,不支援所有系統同時切換。

6.異地備援未整合核心與周邊系統的相依性。

7.災難演練的涵蓋度不足,誤認為一種演練腳本就能涵蓋所有突發狀況。

8.未詳定啟動異地備援的條件,例如未標明由哪位主管在何種情況下啟動。

9.異地備援容量不足,無法承載正常營運流量。

10.未考量備援系統切換回主系統的風險,例如,資料不一致的風險。

資料來源:勤業眾信,iThome整理,2011年5月

 


相關報導請參考「從東日本大震災重新檢視臺灣異地備援


Advertisement

更多 iThome相關內容