对民众而言，生病或受伤就医是相当基本的民生需求，因为就医需求不分白天或黑夜，后端资讯系统也需要24小时全天候服务，为确保服务不致因为设备故障或灾害而导致服务停摆，掌管健保及医疗系统的健保署建立备援机制，在两地建置机房进行异地备援，健保的承保系统、医疗系统分别部署于两个机房，采热备援方式，系统也以多台伺服器作负载平衡，并且每年定期切换演练。资料备份策略上，每天执行本地端应用系统及资料备份，并将备份资料同步到异地端，每年执行还原演练。

然而，这套备援、备份计划是按传统异地备援的方式来设计，如果发生大规模灾害及特殊的紧急状态，造成两地的机房毁损，当境内既有建立的备援、备份机制相继失效，就需仰赖境外系统维系基本服务运作，卫福部健保署的健保系统、医疗系统列入18项关键民生系统，政府希望透过跨境公有云强化服务韧性。

韧性方案提供练兵机会

卫福部健保署副署长庞一鸣表示，健保署行之有年的备援及备份机制已相当熟练，然而此次关键民生系统韧性方案，以境外公有云提供韧性支援，核心功能上云、资料加密分持备份、还原演练等，「这些目前还是概念层，没有实作无法知道它的可行性，代价有多大，透过参与韧性方案，如同在沙盒环境验证」。

健保署过去缺乏云原生开发和云端部署的经验，庞一鸣直言，云端服务相当成熟，云端、混合云已渐渐成为趋势，但健保署内部的基层同仁没有接受完整的云端课程，缺乏相关的训练认证，缺乏练兵的机会。「我们对云有想像、有期待，但内部专业能力不够，韧性方案提供一个很好的机会来练兵」，他说。

庞一鸣表示，云服务最基本的资料备份还原，以及健保署本身的资料量庞大，切分后备份到3个跨境公有云，备份还原过程会不会遗失资料，甚至是未来朝混合云发展，对云服务有很多想像空间，但是都需要验证。

举例来说，韧性方案规画的资料加密分持备份至跨境公有云，健保署不曾采用，去年曾测试资料加密分持备份，由于健保资料庞大，健保署预估，资料加密分持备份时，需要原本资料量的1.5倍额外空间，如仅依赖网路传输庞大资料，在全天候全速传输之下，约需要接近一个月时间才能将资料送至云端，在预算的容许下，每个月一次将资料备份上云，这意谓著未来回复资料的时间差至少1个月。如果以重大灾害后，重建回复完整资料为目标，要将健保署的完整资料进行加密分持备份，则需要更大的储存空间。

相较于以云原生架构开发核心功能上云，因云端化技术成熟，挑战相对较小，健保署更大的挑战是资料加密分持备份，需要考虑资料大小、完整性、时间性及范围、网路传输、运算处理、储存空间、费用等等。

至于健保署规画哪些核心功能上云，庞一鸣指出，未来在紧急状态如战争期间，依健保法规定，健保不用于支付战时的医疗费用，健保署的角色偏重在紧急状态结束之后复原阶段，确保资料保存及回复，韧性方案正好提供很好的机会，进行技术上的概念验证。

审慎评估适合的跨境公有云

当发生大规模灾害或是突发的紧急状态，境内两地资料中心失效，跨境公有云担负起重要的核心系统备援及资料保存角色，在政府强化数位韧性中扮演关键角色，健保署已经订出了境外公有云的评估重点，包括功能需求、效能可靠性、安全性、成本、地理位置、支援和服务等等。

在功能需求部分，考量境外公有云提供运算、储存、资料库、机器学习等服务或工具；效能可靠性方面，例如云服务的效能、可用性、故障恢复能力等；安全性部分，考量资料加密、身分验证、存取控制；成本方面，比较不同公有云平台的定价及费用结构，由于韧性方案为4年的中期计划，目的为协助各公务机关验证并建立跨境公有云备援及备份机制，在韧性方案结束之后，各机关仍需租用云端服务，需编列经常门经费，必须考虑长期的成本效益，健保署希望未来行政院编列经常门费用支持。

地理位置方面，健保署指出，考量跨境公有云的资料中心地理位置，综合需要的性能及合规性判断；支援及服务方面，韧性方案虽然规画为境外公有云，但考量到技术支援、培训及顾问服务，如同前面提到，健保署缺乏云端服务及工具的基础，必要之时能获得协助，虽然为境外公有云，但必需能提供本地的支援服务。

配合韧性方案的推动，未来4年健保署规画以云原生架构，以模组化、轻量化功能开发云端版的核心系统，在灾害或紧急状态下，仍能以云端提供核心系统的基本服务。

至于地端的系统，健保署未来规画会从单体式系统，转为以微服务架构，利用微服务具备的弹性、容易水平扩充、易于部署等特性，来提升系统的可用度及稳定度。

健保署的应用系统目前均建构在私有云，未来逐步调整为混合云架构，以提升系统营运的韧性。

 相关报导