数据中心的备份与备援，是目前因应系统的持续发展所产生的新兴需求，尤其是在医疗信息电子化后，基于人身等安全议题让维持系统运作成为优先考虑项目；因此要建置备援机房，要以「最坏的打算，最好的准备」为前提，才能因应各种情况，一般的数据中心如此，医疗数据中心亦然。

去年北市内湖区丽源大楼因地下二楼的传出火警，消防单位中断大楼供电检查大楼安全，在该大楼的数字通、是方电讯等机房因此停止运作，连带使得Yahoo!奇摩、Groupon等知名企业网络服务停摆；而近期多家教学级医疗院所多已计算机化，在系统及数据的保护上，借鉴信息安全及稳定运作等议题，在系统备援上的确更是重要。

这一场火所烧出的议题，可以说是继1999年因中部地区高压电塔倒塌造成的729大停电以来的最大事故。企业机房发生灾害的案例，2010年富邦金控总部即曾发生火警，疑因配电盘插座老旧引发火灾，虽然不到1小时扑灭火势，仍导致富邦证?期货相关电子下单系统、金控网站、部分产险服务与投信网络交易和通路服务等系统无法运作。

图一

由于数字通、是方电讯皆为代管业者，不仅数字通、是方电讯自己的网站约略于中午开始就无法登入，所代管的多家企业也受此事件波及，网站及服务直接停摆或出现不稳定的异常现象。 有趣的是，是方电讯虽然在内湖有瑞光路、阳光街共三处机房作为备援，但因为转移工作复杂且需要客户配合，目前尚未启动备援机制。

灾害导致企业机房受损中断营运服务的案例，在在突显出企业加强机房防灾、建构完整灾害备援机制的重要性。而作业多半已计算机化的医疗院所，为了维护医病关系的完整性，信息事先的「备份」和系统的「备援」更是重要。

信息备份与系统备援

备援扮演防灾坚强后盾

卫生署信息中心主任许明晖指出，在医疗智能化的情境之下，包括数据库与系统均有较其他数据中心更为要求的安全需求，其中以电子病历最需强调。在病历电子化的思维底下，未来病人可在任一家医院，透过健保IC卡，在病人同意及医师授权下，就可完整取得病人过去的病史数据，提供连续性照护。

就医疗信息系统的安全措施来看，除了对于灾难的必须准备应变计划以及实地进行完整演练外，重点仍在于信息的备份与系统的备援两个面向。他举例，911事件重创美国许多金融机构，却能在一个星期内复原并运作，就是因为这些机构资源雄厚，建置了强大的备份和信息安全机制，但备份仅为最基本的保护措施，如果能力可及，更进阶的做法则是设置备援主机。

921大地震后许多企业行号网络停摆，但仍有不少政府机关与大企业仍能正常运作，原因是这些机构确实作到异地备援，将第二套机房系统设置在其他地点、甚至另一个城市，大幅降低「鸡蛋全摆在同一个篮子」的风险。

备援指的是平时准备可以立即接替的主机，避免在线服务中断。许明晖分析，以备援的定义观察，它不但有备份，还可以透过预备好的主机随时可以接续的解决方案模式，「所以这些事情其它是有专业的作法，要依各资源的多寡而有不同的需求。」但他也认为，在系统的需求上，「备份」与「备援」并非有孰优孰劣的差异，必须观察「信息安全」或「恢复的实时性」等不同需求为考虑，「但以医疗资源系统来看，我们本身是一定要有备份。」

目前国内的医学中心基于评鉴的需要都要有电子病历，在设备上基本要求就是必须通过ISO 27001信息安全认证。医院评鉴规定，当院内计算机系统发生故障时，医院应有紧急应变处理机制，包括计算机系统故障紧急应变计划、风险管理计划、演练、监测、管理及检讨等，以在紧急状态下仍可维持正常运作。目前大多数的医学中心信息中心多配有「双主机、双备援」，只要一台主机当机，两分钟内就可以切换到另一台，而且每年都会演练当机情况。不过，尴尬的问题在于，医院评鉴却并未要求备援主机必须通过ISO 27001认证，这也形同环节上的一个漏洞。

除此之外，如果没有备援主机，更重要的是「紧急应变计划」和「实地演练」，例如暂时改以传真、语音通讯的方式取代计算机，再分阶段抢修、逐步恢复。如果是跳电或其他结构问题，超过三十分钟就启动紧急应变标准作业流程，提供窗体给第一线人员使用，修复后数据也能快速统整。平常所有数据都是每天「异地备份」在邻近院区，就算原始数据受损也不怕，两小时内就能在邻近院区启动所有数据。

异地备援与分布式中心

不过，以丽源大火事件观察，是方及数字通所在的大楼，基本上可以说是现在台湾最风行的「数据中心」架构。目前多数系统的「双备援」规画，多仍然仅是在同一栋大楼的不同备援主机而已，但如像近期的丽源大火、921地震，甚或是311福岛核灾，如此的备援机制恐怕亦无法承担，尤其是医疗信息的备份与备援，在紧急而大型的灾变发生时，更是重点。

专家认为，这类机房必须配备「分布式中心」的概念，来取代传统数据中心的「待机备援」思维。所谓的「分布式中心」，与目前一比一备援模式最大不同之处，在于将同城备援中心的系统升级，从过去仅在待机状态提升为正常开机状态，因此部分数据处理可移转到备援中心系统，等于是让备援中心也成为一个分布式的数据中心，这种最基本的分布式中心架构，就是所谓的「双中心」。

当然，近距离的信息双中心，主要是因应大多数由人为因素引起的小规模灾害，例如操作不当造成系统当机、或是火警烧毁机房设施等事故发生时，可以缩短业务回复至完全正常营运状态所需要的时间；但为了避免类似日本震灾所造成的大规模灾变，在进行建构双中心模式后，第二步则必须考虑在一定距离以外建置灾难备援中心，形成「两地三中心」做为第二重防护，以应对大区域或大规模的灾变，有效确保数据的安全与完整，达成「零停机」的目标。

分析许多灾难的实际案例即可发现，备援系统如果无法在关键时刻发挥预期的功效，等于完全没有备援，先前的投资也将全数付诸东流。因此如要建置异地备援机房，就应该一次到位，要以「最坏的打算，最好的准备」为前提，才能因应各种情况，一般的数据中心如此，医疗数据中心亦然。