資料中心的備份與備援，是目前因應系統的持續發展所產生的新興需求，尤其是在醫療資訊電子化後，基於人身等安全議題讓維持系統運作成為優先考慮項目；因此要建置備援機房，要以「最壞的打算，最好的準備」為前提，才能因應各種情況，一般的資料中心如此，醫療資料中心亦然。

去年北市內湖區麗源大樓因地下二樓的傳出火警，消防單位中斷大樓供電檢查大樓安全，在該大樓的數位通、是方電訊等機房因此停止運作，連帶使得Yahoo!奇摩、Groupon等知名企業網路服務停擺；而近期多家教學級醫療院所多已電腦化，在系統及資料的保護上，借鑑資訊安全及穩定運作等議題，在系統備援上的確更是重要。

這一場火所燒出的議題，可以說是繼1999年因中部地區高壓電塔倒塌造成的729大停電以來的最大事故。企業機房發生災害的案例，2010年富邦金控總部即曾發生火警，疑因配電盤插座老舊引發火災，雖然不到1小時撲滅火勢，仍導致富邦證?期貨相關電子下單系統、金控網站、部分產險服務與投信網路交易和通路服務等系統無法運作。

圖一

由於數位通、是方電訊皆為代管業者，不僅數位通、是方電訊自己的網站約略於中午開始就無法登入，所代管的多家企業也受此事件波及，網站及服務直接停擺或出現不穩定的異常現象。 有趣的是，是方電訊雖然在內湖有瑞光路、陽光街共三處機房作為備援，但因為轉移工作複雜且需要客戶配合，目前尚未啟動備援機制。

災害導致企業機房受損中斷營運服務的案例，在在突顯出企業加強機房防災、建構完整災害備援機制的重要性。而作業多半已電腦化的醫療院所，為了維護醫病關係的完整性，資訊事先的「備份」和系統的「備援」更是重要。

資訊備份與系統備援

備援扮演防災堅強後盾

衛生署資訊中心主任許明暉指出，在醫療智慧化的情境之下，包括資料庫與系統均有較其他資料中心更為要求的安全需求，其中以電子病歷最需強調。在病歷電子化的思維底下，未來病人可在任一家醫院，透過健保IC卡，在病人同意及醫師授權下，就可完整取得病人過去的病史資料，提供連續性照護。

就醫療資訊系統的安全措施來看，除了對於災難的必須準備應變計畫以及實地進行完整演練外，重點仍在於資訊的備份與系統的備援兩個面向。他舉例，911事件重創美國許多金融機構，卻能在一個星期內復原並運作，就是因為這些機構資源雄厚，建置了強大的備份和資訊安全機制，但備份僅為最基本的保護措施，如果能力可及，更進階的做法則是設置備援主機。

921大地震後許多企業行號網路停擺，但仍有不少政府機關與大企業仍能正常運作，原因是這些機構確實作到異地備援，將第二套機房系統設置在其他地點、甚至另一個城市，大幅降低「雞蛋全擺在同一個籃子」的風險。

備援指的是平時準備可以立即接替的主機，避免線上服務中斷。許明暉分析，以備援的定義觀察，它不但有備份，還可以透過預備好的主機隨時可以接續的解決方案模式，「所以這些事情其它是有專業的作法，要依各資源的多寡而有不同的需求。」但他也認為，在系統的需求上，「備份」與「備援」並非有孰優孰劣的差異，必須觀察「資訊安全」或「恢復的即時性」等不同需求為考量，「但以醫療資源系統來看，我們本身是一定要有備份。」

目前國內的醫學中心基於評鑑的需要都要有電子病歷，在設備上基本要求就是必須通過ISO 27001資訊安全認證。醫院評鑑規定，當院內電腦系統發生故障時，醫院應有緊急應變處理機制，包括電腦系統故障緊急應變計畫、風險管理計畫、演練、監測、管理及檢討等，以在緊急狀態下仍可維持正常運作。目前大多數的醫學中心資訊中心多配有「雙主機、雙備援」，只要一台主機當機，兩分鐘內就可以切換到另一台，而且每年都會演練當機情況。不過，尷尬的問題在於，醫院評鑑卻並未要求備援主機必須通過ISO 27001認證，這也形同環節上的一個漏洞。

除此之外，如果沒有備援主機，更重要的是「緊急應變計畫」和「實地演練」，例如暫時改以傳真、語音通訊的方式取代電腦，再分階段搶修、逐步恢復。如果是跳電或其他結構問題，超過三十分鐘就啟動緊急應變標準作業流程，提供表單給第一線人員使用，修復後資料也能快速統整。平常所有資料都是每天「異地備份」在鄰近院區，就算原始資料受損也不怕，兩小時內就能在鄰近院區啟動所有資料。

異地備援與分散式中心

不過，以麗源大火事件觀察，是方及數位通所在的大樓，基本上可以說是現在台灣最風行的「資料中心」架構。目前多數系統的「雙備援」規畫，多仍然僅是在同一棟大樓的不同備援主機而已，但如像近期的麗源大火、921地震，甚或是311福島核災，如此的備援機制恐怕亦無法承擔，尤其是醫療資訊的備份與備援，在緊急而大型的災變發生時，更是重點。

專家認為，這類機房必須配備「分散式中心」的概念，來取代傳統資料中心的「待機備援」思維。所謂的「分散式中心」，與目前一比一備援模式最大不同之處，在於將同城備援中心的系統升級，從過去僅在待機狀態提升為正常開機狀態，因此部分資料處理可移轉到備援中心系統，等於是讓備援中心也成為一個分散式的資料中心，這種最基本的分散式中心架構，就是所謂的「雙中心」。

當然，近距離的資訊雙中心，主要是因應大多數由人為因素引起的小規模災害，例如操作不當造成系統當機、或是火警燒毀機房設施等事故發生時，可以縮短業務回復至完全正常營運狀態所需要的時間；但為了避免類似日本震災所造成的大規模災變，在進行建構雙中心模式後，第二步則必須考慮在一定距離以外建置災難備援中心，形成「兩地三中心」做為第二重防護，以應對大區域或大規模的災變，有效確保資料的安全與完整，達成「零停機」的目標。

分析許多災難的實際案例即可發現，備援系統如果無法在關鍵時刻發揮預期的功效，等於完全沒有備援，先前的投資也將全數付諸東流。因此如要建置異地備援機房，就應該一次到位，要以「最壞的打算，最好的準備」為前提，才能因應各種情況，一般的資料中心如此，醫療資料中心亦然。