衛福部食品藥物管理署資訊室主任林文洲

民以食為天,在社會走跳的每一天,都無法跟飲食脫離關係。近年屢屢爆發的食安事件,也挑動眾人的敏感神經。主管食品、藥物的衛福部食品藥物管理署(簡稱食藥署),人力不到700人,管理超過 42萬家已登錄食品業者,同時也是2,300萬人飲食安全的守門人,如此懸殊比例,也替食藥署業務執行上帶來許多挑戰。

因應近年層出不窮的食安事件挑戰,2015年,食藥署成立了食藥戰情中心,開始利用SAS、SPS及商業智慧工具Tableau,利用內部資料建立風險預測模型,偵測高風險目標。戰情中心也和食藥署資訊室合作,架設超過100個儀表板,協助高層進行決策。同時食藥署也整合了環保署、農委會、經濟部旗下食品相關系統,建立了泛食品雲,總共與178.7萬家業者介接,管理超過3,400萬筆的食藥資料,規模仍然持續成長中。

按任務性質,戰情中心總共劃分為3個任務小組。第一個是輿情監控小組,負責監測國內的網路社群新聞,掌握相關輿情。第二是系統整合小組,職掌食藥署及跨部會系統,整合食藥數據資料。最後資料分析小組則負責偵測潛在的食安風險與趨勢,提前洞察可能犯罪行為,並通報相關單位進行稽查。當爆發緊急食安事件時,戰情中心有兩種應變措施,首先是尋找可疑目標,利用過去資料找出相關業者者或產品。再者則是從追蹤已知出事的問題廠商,追蹤其上、下游業者,以及產品流向的動態。

而食藥戰情中心的運作核心,與食藥署掌管的5套關鍵監控系統密不可分,包含非登不可、非報不可、非追不可、非驗不可及非稽不可這5套,合稱為「5非系統」。

從食品生產的源頭開始,利用非登不可系統,利用食品業者的登錄資訊,掌握食品的結構資料。接著是非報不可系統,提供人員查驗食藥、通關訊息服務,管轄範圍包含進口食品、中藥材以及藥物檢驗資料。而非追不可系統則整合食品原物料來源以及其動向的資料。再者為非驗不可系統,記錄相關機關實驗室的檢驗結果。最後則是非稽不可系統,提供一線人員在執行稽查作業時,能快速查詢相關資訊。在食品從生產,到最後進入消費者的五臟廟中,中間的流程都有5非系統的參與

而5非系統背後運作的機房,維護其穩定性正是衛福部食品藥物管理署資訊室主任林文洲的重要任務。他表示,基礎架構要滿足精簡、穩定、快速,以及彈性擴充,而方法在於簡化基礎架構的複雜度,讓同仁能快速上手工作,「藉此降低管理工作的難度。」

在人力、物力及財力有限之下,辦認出組織內部真正的核心業務,部署恰好的資源,是林文洲認為得完成的首要目標。而林文洲放棄多數企業想使用的高可用性架構,他也深知必須承受的風險就是系統當機停止服務,「但重要的是,衡量對風險的忍受程度。」

只要是資訊系統,難免都會碰上當機一事,除了醫療、金融、製造等對系統穩定度要求極高的產業,林文洲認為,多數組織都能承受一定限度內的系統停擺時間,「真正的問題在於,故障多久後使用者會回報系統故障。」

因此,釐清食藥署內部真正重要系統,配置資源以應對緊急狀況,會是較有投資報酬率的策略。林文洲舉例,掌握進口食品報關資訊的邊境查驗自動化管理資訊系統,一旦故障,10分鐘內就會引起使用者的抱怨,「所以必須在他們發覺問題前,提前一步排除系統故障。」在放棄走向高可用性一路的林文洲,取而代之,他也要提升資訊人員故障排除問題的能力。

不過出於業務需求,原先資訊室就已經部署24小時輪班的值班人力,所以一旦系統故障,只要訓練資訊人員即時利用預留備品進行維修,「比跟廠商簽訂維修合約還要更快。」

而相比應用程式,保護各類食品、藥物資料的完整性更是林文洲著眼的重點。目前食藥署內儲存的食品原料、藥品許可等資料,總計累積約15TB的數據。他表示,考量應用程式的變動量不大,但是數據每天都有新異動,「因此應用程式可以故障,但資料絕對不能遺失。」

因此,除了本地機房外,另外食藥署還利用政府GSN骨幹網路,分別在臺北、臺中等地,總共架設了4份異地備援基礎架構,每小時都會對資料進行1次快照備份,而應用程式只需要每周備份1次即可。

規範虛擬主機容量提升資源使用率

資訊室的工作不僅得確保核心的5非系統正常運作,也要負責建置各個業務單位所需要的基礎架構,林文洲從接任資訊室主任後,便開始推動伺服器虛擬化,目前食藥署總共有超過300臺VM,並且維護超過100個資料庫,儲存各類食品、藥品數據。

他表示,選擇使用微軟Hyper-V的原因有兩個。第一,當時微軟推出資料中心版本(Datacenter)的授權,Hyper-V主機上VM執行的作業系統,不需要加收額外費用。再者,以前導入虛擬化的組織並不多,而較多人熟悉微軟環境操作,「得先讓同仁習慣虛擬化技術。」

為了提升資源使用率,資訊室嚴格分配每臺VM搭配50GB空間,而資料儲存空間則是額外計算。起初雖引起反彈,但林文洲解釋,VM內的空間浪費多半肇因於不良使用習慣,例如開發者沒有切分正式環境、開發環境,或定期清除垃圾,「業務單位開發的系統,難道會比微軟還複雜嗎?」他笑著說,許多人曾嘗試爭取額外使用空間,但是攤開計算實際使用量後,最後都知難而退。

 衛福部食品藥物管理署資訊室主任林文洲認為,多數組織能承受一定限度的系統停擺,問題在於,「使用者何時會回報系統故障。」

統一匯聚各業務單位資料,免除資料界接難題

在各業務資料整理作業上,也花了林文洲一番工夫。目前各單位雖可自由跟資訊室申請VM使用權限開發業務系統,不過他規定,資料庫得統一交由資訊室管理,劃分將應用程式與資料庫的相依性。這樣做法好處在於,透過資訊室統一管理,將各資料庫匯聚成大型資料倉儲,「如此內部就沒有資料介接的問題,只要注意存取權限即可。」

另外林文洲表示,許多開發者常犯的錯誤在於,習慣把資料載入至本地應用程式進行運算,「資料動輒數百GB」,光是傳輸資料就會浪費許多系統資源,因此他也要求內部開發者養成習慣,在資料庫內完成運算後,再將結果回傳至本地。在這樣管理之下,「應用程式及資料庫的運作效能自然有所提升。」

靠儀表板簡化內部維運工作

在導入伺服器虛擬化後,要讓維運工作自動化程度提升的下一步就是利用監控軟體。讓維運人員可以透過儀表板,追蹤食藥署系統運作的大小事。

而食藥署為此導入了監控軟體HostMonitor,林文洲表示,它的功能雖不及國外大廠監控解決方案,林文洲舉例,像微軟SCOM可以通知維運人員哪些設備尚未更新到最新版本,不過在成本考量上,資訊室得開發功能相仿的外掛程式,彌補此軟體的不足。目前總共監控項目超過100種系統資訊,「我們會把過去發生的問題,納入未來監控項目中」,林文洲舉例,過去食藥署曾發生單位內,系統時間落差超過30秒。如果電腦設備間有時間落差存在,就變成駭客可以瞄準的攻擊弱點,所以現在系統時間便納入食藥署的監控項目。再者,為了提升公務效率,確保電子郵件暢通也很重要。過去食藥署也曾發生因為電子郵件無法送達,導致公務流程拖延。所以監控系統發現收信端沒有回應系統請求,便會通知維運人員得著手修復。

定期回頭查核計畫成效

在林文洲執掌資訊主任的這幾年,落實規定一向是他核心理念。對應到管理學中,PDCA(Plan-Do-Check-Act)模型,其中查核(C,Check)是他最為投入的重點,「許多人都只埋頭擬計畫跟執行,卻忘記回頭看效果如何。」

為了減輕資安事件對食藥署的衝擊,資訊室還主動扮演起內部駭客的角色,利用系統直接發送釣魚信件,給內部員工來場真槍實彈的震撼教育,「大家都知道資訊室很會釣魚。」他笑著說。

對於資訊室的作法,許多人直喊吃不消,也引起許多抱怨,「我也想當好人,但出事情都算我的責任。」加上食藥署人員流動量大,不時有許多新進人員,還未養成正確的操作習慣,面對這些威脅,林文洲一定得著手管理。

林文洲也積極與上層長官溝通,說明釣魚信件是駭客慣用的手法,簡單又有效,不可不慎,在過去其他組織也有因點擊釣魚信件,導致駭客能潛入發動APT攻擊的案例,如此才爭取到上層的背書。

釣魚是為了落實資安教育而非懲罰

不慎點擊釣魚連結後,10分鐘內就會收到系統通知,而資訊室每周也會公告各單位上鉤的統計數據,林文洲表示,寄送釣魚信件的目的並非要懲罰該員,而是培養使用者正確的使用習慣。在嚴格要求落實規定下,食藥署資訊室不僅獲得ISO 27001認證,在2016年也通過歐盟技術小組官方認可之ECSA四星服務驗證,但他並非為獲得認證才落實這些規則,「只要遵守應有的規矩,自然就會通過這些認證。」

 

 CIO小檔案 

林文洲

衛福部食品藥物管理署資訊室主任

學歷:輔仁大學資訊工程系

經歷:過去曾任疾病管制局資訊室科長,現任食藥署資訊室主任,不僅加強內部資安管控,力推作業系統定期升級,甚至利用系統發布釣魚信件落實資安教育,目前已經通過ISO 27001認證,在2016年時也通過歐盟技術小組官方認可的ECSA四星服務驗證

 機關檔案 

衛福部食品藥物管理署

● 地址:臺北市南港區昆陽街161-2號

● 成立時間:2010年

● 主要業務:食品藥物管理一元化、食品管理、藥物管理、風險管理與消費者保護

● 員工數:675人

● 署長:吳秀梅

● 預算:27.3億元

資訊部門檔案

● 資訊部門主管職稱:主任

● 資訊部門主管姓名:林文洲

● 直屬主管:吳秀梅

● 資訊部門人數:18人

● IT預算:約1億元

 IT部門大事紀 

● 2010年:行政院組織再造,行政院衛生署食品衛生處、藥政處、藥物食品檢驗局、管制藥品管理局整併為食品藥物管理局

● 2011年:收回原委託標檢局辦理之輸入食品邊境查驗業務,新建節能機房上線,達成系統24小時持續營運不中斷目標

● 2012至2014年:完成所有資訊系統資料庫集中整併作業、資訊系統虛擬化,降低機房營運成本,提升管理效率並推高伺服器量能,打造私有雲雛型

● 2014年:食品藥物開放資料平臺正式上線啟用

● 2014年:推動所有系統雲端化

● 2015年:食藥戰情中心掛牌成立,專責大數據資料整合。因應大數據資料剖析、傳遞需求,建置10G網路基礎設施

● 2015年:為降低雲端機房場域風險,設置離主機房30公里以上之異地機房

● 2016年:食品雲非追不可、非報不可接連推廣食品、進口食品QR Code,方便以行動裝置查詢相關資訊

● 2016年:為加速大數據存取速度,雲端機房升級為全SSD存取環境

● 2016年:通過歐盟技術小組官方認可之ECSA四星雲服務驗證

熱門新聞

Advertisement