安全的e化讓ezTravel 完成不可能的任務

ezTravel易遊網旅行社企劃處資訊部經理蘇伯榮說：「ezTravel成立以來，我們一直在尋找旅遊網站的經營模式，到目前為止證明我們的策略是成功的。」
創新產品成功歸功於資訊化
到底ezTravel出色的地方在哪裡？行銷處主任陳美筑說：「產品的創新及差異性，是我們最大的資產，也是成功的關鍵。」ezTravel總經理游金章經營旅遊業已有三十多年經驗，因此深諳消費者需求，在轉而經營線上旅遊業務後，仍因前瞻的眼光與做法，贏得消費者的青睞。

陳美筑說：「我們提供的產品是國內最多樣的；我們不但擁有一般網路上看得到的產品，更有很多其他人沒有的創新產品。例如很早之前推出的『屏東黑鮪魚季』國內旅遊，就是我們跟屏東縣政府合作所開發出的產品；以及後來的『墾丁之星』、『溫泉公主號』等環島火車，都是我們獨家承攬的，也深受各界喜愛。」

而最近ezTravel推出的國外GV2自由行方案，可以讓消費者自由地選擇航空公司、旅遊天數、入住飯店，或加買一日遊行程等，更是顛覆了傳統旅行社的做法，成為業界的創舉。「GV2自由行方案，裡面牽涉到非常複雜的資訊提供與下單控制機制。讓旅遊商品模組化，是線上商品的特性，這是傳統的旅行社根本做不到，因為他們光是解釋這樣的做法及行程，就得花很大的成本。」蘇伯榮說。「我們把所有的資訊都清楚地放在網路上，消費者就可以自己選擇。他們可以把所有的東西都放到菜籃裡，再組合出最喜歡的行程。」他補充說，這樣的「客製化」目標正是消費者需要，但以前做不到的。

另外一個很關鍵的重點在於資訊化大大提升了旅遊業的營業額。蘇伯榮指出，以前傳統旅行社從接到客戶電話到結案，大概要一個小時，但ezTravel在整個網路化之後，發現從使用者查詢行程到訂單成立大概只要十分鐘。「訂單成立時間縮短，訂單量增加，成行率提高，因此營收也增加。我們發現，旅遊結合網路是非常好的方式。這也是目前我們最大的收穫。」而資訊部門更是盡力將整個後端流程簡化，讓消費者可以擁有最美好的旅遊行程購買經驗。

營運不中斷是首要挑戰
在ezTravel成立的頭兩年，傳統電話與網站接單的比例是7:3，第二年後半段到現在已經完全顛倒，網站接單的比例已高達八成。目前ezTravel平均一天可接獲1,300多筆訂單，也就是說幾乎每分鐘都有訂單進來，因此網路的正常運作就成了最重要的課題，因為一旦網路出問題，公司營運將形同中斷，而這正是ezTravel最大的挑戰。

蘇伯榮指出，ezTravel乃是集結散客形成市場，進而造就品牌，成立至今已累積了將近90萬筆的交易紀錄，而這些資料是首先必須被保護的資產。「包括客戶的行程、時間、同行者，以及付款紀錄、信用卡資料等，都受到保護，我們嚴格禁止公司內部人員或第三者來詢問、調閱這些資料。」

蘇伯榮指出，這些資料的查詢權限在IT人員身上，客戶端則可以透過一個內部的ERP系統來查，但基本上都有權限的限制。其次需要保護的是會員的基本資料，ezTravel約掌握了140萬筆會員資料，截至目前這些資料都在嚴密保護中。

「DB是最主要的，不能當機，也不能因任何形式的攻擊而變慢。」蘇伯榮指出，「目前我們是採雙主機備援方式。」除了機房用一台磁帶機做備份外，另外又購置了一台備份SERVER，直接記錄每台主機的資料，雙重備份確保資料安全，並解決了磁帶機備份須時較久的問題。

整個主機乃委由IDC代管，但仍內建防火牆，將安全掌握在自己手上。「我們與IDC之間有一條光纖，其中20M是我們獨家使用的，另外我們也申請了一條E1的線路，來當這條線的backup。」

針對ezTravel旅遊網站的品質特性，資安工作的目標大致上分成四大塊：

1.資訊品質 因為消費者是從網站上得到所有的旅遊資料，因此網站上提供的內容必須非常正確，所有資料不管是各單位或遠從高雄分公司建置的，都會保持其一致性。

再者是會員基本資料，一旦發現IT人員用不正常的方式進入資料庫，或不當地查詢大筆資料時，系統會發出通知。蘇伯榮說，「直接從IT人員這邊來防治，會比較快速、有效。至於那種將客戶資料一筆一筆印出來的方式，我們在現場的主管就可以查核得到。」

2. 系統品質 系統品質從防火牆、防毒及防駭三個方面來著手。蘇伯榮指出，目前ezTravel的網路是採「開放式架構，集中式管理」，也就是資料庫集中在總公司，連線進來時是透過intranet。在每一分公司的節點皆設有內部gateway，從內部控管，當有異常或不正常登入時，馬上會發現。

蘇伯榮指出，據他們的統計，公司的service信箱平均每週收到6,000封左右的正常信件，然而同時會收到22,000多封夾帶病毒的郵件，大量的病毒郵件造成網路安全威脅，因此防毒部份有內部PC的防毒伺服器在控管，蘇伯榮指出以前公司員工未滿100人時，防毒是採用單機版的方式，然而現在人數已將近300人，因此必須借助server才能做防毒的工作。此外，每週也會收到23, 000多封的廣告信件，垃圾信降低了人員及系統的工作效率，所以 ，從今年開始使用SPAM Server來過濾信件。

防駭部分，目前做法是建置IDS與IDP。以ezTravel最近的歷史資料來看，一個月平均會遭受到5次左右的蠕蟲攻擊，而這並不是防火牆能完全防堵的。蠕蟲攻擊的影響主要是造成網頁下載變慢，訂單交易減少。裝了IDS與IDP之後，讓網管人員找到攻擊源的IP，將它鎖定，不讓它們再發出攻擊。

一份由交大網路測試中心所做的「電子商務網站服務、安全與效能測試評比報告」指出，ezTravel在安全方面得到滿分5.0分，網站服務3.5分，效能4.5分，為受評比的休閒旅遊業裡的第一名，並得到電子商務的金質獎章，蘇伯榮認為由此可證明他們在電子商務的安全上投入很大的心力。

3. 服務品質 服務品質方面，蘇伯榮表示，他們比較著重在內部行為的控管。「我們是從旅遊交易的個案中來學習。例如曾有消費者盜刷信用卡，在該案例發生之後，我們訂了一個作業標準，也就是如果發現刷卡金額較高或異常，我們會主動打電話給客戶、比對身分，還有做一些持卡人的認證，若一切沒問題，這筆訂單才會成立，也就是先做事前的預防。」

至於什麼樣的狀況會被判定為金額異常？舉例說，例如購買國內機票，一個人買個一、兩張是正常的，但如果他買了十張，金額過大，業務人員就會有所警覺。再者，上ezTravel的通常是散客，以購買2到4人的商品頻率最高，但若一次訂個十個人的團，就不太正常。「有些端倪可以提供我們做判斷，但這些並不是每個新進的業務人員都會知道的，因此我們從銷售到客服端，都建立了一套作業流程，把經驗傳承下去。」

蘇伯榮說：「發現盜刷，我們會透過IT人員去調出這筆資料，內部公布持卡的卡號及姓名，讓相關人員及總經理等高階主管知道，並通報銀行這個異常的行為。」他指出，公司成立第二年時，盜刷發生頻率最高，這兩年在業務及客服人員的警覺，以及消費者必須提供真實身分證明的規定之下，盜刷事件已經減少很多。

4.安全品質 蘇伯榮認為，線上交易愈安全，顧客就愈放心。他指出，現在一般都是採用金鑰長度128BIT的機制或SSL，此外，ezTravel在目前採用較新方式是跟中國信託做一個「線上VISA 3D」的認證。此一3D加密的技術就是在網站上申請一個帳號，它會提供一組密碼給消費者，用此來保障網路交易的安全。

他補充說明道，VISA現在所推出的3D交易認證機制只有中國信託、台新銀行及聯邦銀行採用，消費者連線到自己的發卡銀行，並設定一組只有自己知道的密碼，此後只要消費者在網路上刷卡消費，就須輸入那組密碼，如此一來，可以防止信用卡被盜刷，消費者本身可以選擇要提供或不提供VISA驗證。蘇伯榮指出：「我們是國內最大的採用VISA驗證的交易平台。」他強調，「做這個驗證代表我們對線上交易安全的重視程度。」

對於內部的資安宣導及資安教育，蘇伯榮認為最重要的是對內部人員的資安觀念宣導。他說：「不斷透過每個月、每個CASE的個案分析，來告訴員工哪些該做、哪些不該做，是很重要的。」他指出在公司內，一是從客服端來做，由客服主任主導，利用旅遊個案來做宣導，或聘請資訊安全講師來演講；二是在資訊人員內部，會有資訊人員的每週／每月檢核表，以確實確認每台主機或每筆交易的安全性，當然他們也得參與教育訓練以及內部的個案討論。

資訊人才缺乏
當被問到資訊或資安建置面臨的困難時，蘇伯榮回想四年多前進入ezTravel時，遍尋不著合適的軟體開發公司的窘境。「國內有很多軟體開發公司針對銀行、證券、製造業等業者開發軟體，但針對旅遊業開發軟體的廠商卻付之闕如，因為當時國內旅遊業大大小小約有一千多家，可是整個資訊化程度卻非常低，通常是3、5人共用一台PC，因此找不到廠商開發ERP系統。我們調查了60幾家，好不容易才找到合適的合作對象。」

他也提到，當時旅行社要吸納IT人員是非常難的，因為大家想不出來旅行社為何需要IT人員。「直到現在國內旅行業的資訊化程度逐漸在提高，大家也認同線上旅遊是一個蠻好的模式，才慢慢吸引一些人才進來。」他自己則說：「現在你就算要我離開旅遊業，我也離不開了，因為我發現旅遊業還有很多改善空間。」

資安方面，即使ezTravel資訊化程度已相當高，但蘇伯榮仍須面對與管理部門在資安建置上的認知落差。「我們想做到滴水不漏，但要花的金額會很龐大。克服的方式就是告訴管理階層，如果不做的話會影響營運多少，用數據的方式來跟上面溝通。」蘇伯榮說，「現在安全維運對我們而言變得很重要。以今年IT預算一千多萬來看，資安建置就佔了40%，比起當初，真是不可同日而語。」

以資安為後盾拼上櫃
ezTravel預計在今年上櫃，輔導顧問除了幫他們做資安稽核之外，更制訂一些SOP及緊急應變計畫，並把資安政策的制訂列為輔導重點。「例如之前提到所有匯出的資料要做管制，或資訊人員的雙重控制，都未予以文件化。我們現在正在改善這個部分，因為文件化之後才能傳承。」

對未來，蘇伯榮考慮在產品面導入弱點偵測服務。在政策面，則是體認到應變與回復處理能力的重要性，並希望藉由SOP的制訂，讓即使發生問題也能在最短的時間內處理。

就如同總經理游金章常告訴ezTravel同仁的一句話：「每一次交易都要從讓顧客驚奇做起」。ezTravel無論是網站旅遊資訊、行程選擇到訂單成立，每一個動作都有強大的資訊及資安能力做後盾，因此帶給消費者最美好的旅遊行程購買經驗。