数位发展部数位政府司长王诚明表示,韧性方案的目的是在大规模灾害或紧急状态下,当境内资料中心无法运作,透过云端保存资料、核心功能系统,在灾后紧急状态结束后,得以重建系统还原资料。(摄影/洪政伟)
「现行公务机关的异地备援、备份机制,当发生小规模灾难,如机房失火可靠其他资料中心支援,但若遇到大规模灾难或是人祸,连30公里外的资料中心也无法运作,要怎么办?」,数位发展部数位政府司长王诚明一语点出公务机关现有备援、备份机制不足之处。
当发生地震等重大灾害或因为两国关系紧张,冲突升温而大动干戈进入紧急状态,就像一场临时的随堂考试,考验政府服务的韧性准备是否足够,为稳定社会秩序,政府应该维持社会的基本运作,并达到安抚民众的效果。
目前公务机关依据资安规定,依照机关的资安等级,针对营运持续运作订定营运持续计划,并进行演练,在公务机关的主机房建立本地备援、备份之外,在30公里以外的地点建置异地备援、备份中心,考虑到主要机房如果遭受灾害、人为破坏或机房设备故障,可由另一地的备援中心接手,以维持系统运作提供服务,并保存资料。
机关在境内建立备援机制,难以应付大规模灾害或人祸
然而,这套公务机关运作多年、熟练的异地备援、备份架构,主要因应系统故障或台风、地震、水灾、火灾等小规模灾害为主,公务机关多基于资料机敏性及安全性考量,主、异地备援资料中心建置在境内。
近几年随著全球极端气候、大型灾害频传,加上国际情势丕变,例如2022年东加大地震,同年爆发俄乌战争,2023年中东地区以哈战争,两岸关系也日趋紧张,大规模灾害如地震、海啸,或是战争等紧急状态威胁增加,机房等关键资讯基础设施遭到破坏,如果境内的主、异地备援资料中心无法运作,关键民生系统停摆,服务就可能面临瘫痪。
另一个问题是,公务机关大多依赖外部厂商协助开发、维运,一旦发生灾害或紧急状态,城市、交通要道毁损,外部厂商难以支援的情形下,公务机关必需自行操作维运,但由于平时过度仰赖厂商,公务机关人员缺乏自主的能力。
另外,机关过去的演练偏向系统发生异常或单一设备故障,主、备中心切换,当发生紧急状态,缺乏从公有云操作备援、备份的能力。
鉴于国际上借助公有云提升灾害及战时政府韧性的案例,当境内的资料中心因灾祸遭到破坏,让境外公有云即时救援,紧急提供关键民生基本服务,提高政府紧急应变能力,在境外公有云备份保存资料。行政院在去年11月通过数位发展部规画的「数位韧性-行政部门关键民生系统韧性方案」(以下简称韧性方案),该方案为4年计划,投入13.4亿元,联合7个部会,共18个关键民生系统。
选定的系统包括内政部的户政与役政系统、土地登记与地用系统、土地复丈与地价系统,内政部移民署的入出国查验系统、移民管理系统,财政部的国税、地税系统,卫福部健保署的健保承保系统、医疗系统,交通部公路局的车籍与驾籍系统、运输业管理系统,经济部的公司与工厂管理系统、商工资料查询服务、重要物资及固定设施调查系统,劳动部的劳保系统,还有数位部的全球资讯网站、公务系统、云端T-Road。
让跨境公有云扮演境外紧急备援、备份中心
为了提高关键民生系统的韧性,该方案有2大作法,第1个是打造核心功能上云,第2个是资料云端备份。
打造核心功能系统上云方面,由公务机关盘点关键民生系统在灾害或紧急状态需要的基本功能服务,利用云原生架构开发轻量化的核心功能系统,部署至跨境公有云,当灾害或紧急状态下境内资料中心遭破坏,紧急由境外公有云的核心功能系统备援,维持政府基本服务运作。
资料云端备份,透过境外公有云保存资料,不同的是,资料并非直接储存在云端备份,必需经过加密分持备份后,在跨境公有云备份,在事后重建系统、还原资料。公务机关演练云、地系统切换,资料云端备份还原。
韧性方案借助境外公有云资源,当公务机关在境内的资料中心都无法运作时,可由跨境公有云扮演境外紧急备援、备份资料中心角色,相较于过去公务机关在境内建置的主、异地备援中心,仍有固定的地理位置,而跨境公有云由于在境外且没有固定位置,使用云端服务也有相当大的弹性。
王诚明表示,韧性方案的目的是在大规模灾害或紧急状态下,当境内资料中心无法运作,甚至紧急状态持续半年或一年,透过云端保存资料、核心功能系统,考虑到在紧急状态下,网路传输资源受限,无法将整个关键民生系统移到云端,因此开发轻量化的核心功能系统上云,满足社会的基本运作需求。当天灾人祸结束后,公务机关自己具备能力,不需依赖厂商,能容易重建系统、回复资料。
换言之,过去公务机务仰赖境内的资料中心维持关键民生系统及服务,一旦遇到大规模强震、台风或战争导致资料中心毁损,关键民生服务停摆,政府在动员、资源调度上也会受到影响;而透过境外公有云建立境外紧急备援、备份机制,即使境内资料中心毁损,仍可透过境外公云、有限的通讯网路,维系基本的民生服务,同时让政府掌握资源应变。
加速政府机关拥抱公有云
过去政府机关对采用公有云态度比较保守,一方面因为资讯系统多年发展下来,架构老旧且庞杂,如果要改写,往往牵一发动全身,需要投入大笔经费,且耗费不少时间,缺乏经费来调整系统架构。另外,公务机关资料如果涉及敏感性资料,放到云端恐有资料外泄的疑虑,并且受到外界的质疑。
随著云端服务成熟,各种工具、应用丰富多元,计价收费也更为细致化,企业采用云端服务已相当普遍,政府机关也看好云端服务带来节省支出、资源弹性运用优势,国发会在2020年推动「云世代云端基础建设计划」(推动期从2021年到2025年),和农委会(现为农业部)、内政部、财政部、经济部、文化部等7个部会合作,规画29项政府为民服务上云,例如内政部的TGOS地理资讯图资云服务、财政部的消费通路云端发展微服务、税务好帮手、海关e申报等对民服务逐渐移到公有云。
云世代云端基础建设计划规画上云的服务,以面向民众服务优先、不具机敏性资料,可善用云端服务的可用性及资源弹性扩充,因应服务使用的离尖峰需求弹性扩充、缩减资源,节省机关的支出。
这次关键民生系统韧性方案的推动,是以灾害或紧急应变的服务韧性角度出发,以经费补助7个部会的公务机关,以劳健保、户役政、国税、地税等大型民生关键系统为对象,利用云原生架构开发全新的核心功能系统,部署于境外公有云,同时也以资料加密分持备份上云。
在政府强化关键民生系统韧性上,关键在于透过跨境公有云扮演紧急救援的角色,其重要性不言而喻,将公有云正式纳入公务机关的重要民生系统营运持续规画中,让公务机务加速拥抱公有云。
财政部财政资讯主任张文熙表示,政府机关对采用公有云保守的原因,包括考量安全因素及经费,首先,云端和在地系统投入的安全投资不同,需要重新建置规画,其次,改写现有系统需要投入大笔经费,韧性方案补助经费,让机关开发关键系统的核心功能系统上云,让公务机关更有意愿将公有云纳入选项。
地端系统也会朝微服务、容器化发展
由于财政部税务系统因为使用已超过10年,也面临汰换阶段,财政资讯中心考虑采用新方法汰换系统,也重新思考系统韧性,未来将评估哪些功能或服务可被切分,优先以云原生架构开发,利用云原生架构的弹性,来满足服务使用离尖峰需求。
因政府机关过去熟悉的是地端系统架构,对云原生架构开发、云端管理相当缺乏,卫福部健保署副署长庞一鸣更是直言,对云有想像、有期待,但内部专业能力不足,韧性方案除了提供类似沙盒环境验证新作法,也提供很好的机会练兵。
健保署也计划未来逐渐调整现有系统架构,从单体式系统转为微服务架构,以利用微服务的弹性、容易水平扩充、易于部署等特性,来提升系统的可用度及稳定度。
关键民生系统韧性方案,透过公有云加强民生系统对大规模灾害的韧性,公务机关也借此机会培养资讯团队熟悉云原生架构相关开发技术,不只是为了韧性方案开发核心功能系统上云,也为未来地端系统汰换作准备,逐步朝向更具弹性、易扩充、部署的弹性架构发展。
机敏资料备份至境外公云引疑虑
过去政府服务上云以非机敏性资料为主,此次韧性方案在资料备份上,可能对拥有大量敏感资料的公务机关带来冲击,过去政府机关不敢贸然让服务上云,其中一项考量便是资料安全,因此先前政府服务上云,以非机敏资料的应用服务为主。
不过,韧性方案基于紧急状态下保存所有资料,这项资料备份作法并没有区分机敏性或非机敏性资料,规定公务机关平时除了原有的资料备份之外,还需以资料加密分持备份到3个跨境公有云,挑动机关的机敏资料保护的敏感神经。
韧性方案规画资料备份到跨境公有云,例如劳健保、户役政、地政、税务等资料送到境外公有云,虽然数位部事先检视国内相关资安法规,并没有规定政府机关资料不得上云或在境外储存,并且以资料加密分持备份降低资料外泄风险,即将资料加密后切分为3个部分,分别备份到3个跨境公有云,单一公有云的备份资料外泄,难以还原为完整资料。
虽然如此,还有是有公务机关担心资料即使加密分持备份到不同的境外公有云,但是只要取得任意2份资料,加上量子电脑破解加密技术,还是可能导致资料外泄风险,鉴于韧性方案并没有对跨境公有云提出严格的建议,部分机关寻求解决之道,认为可将资料分持备份到具有跨境能力的境内公有云。
