觀點

安全的e化讓ezTravel 完成不可能的任務

2004 / 11 / 12
潘玉 女
安全的e化讓ezTravel 完成不可能的任務

ezTravel易遊網旅行社企劃處資訊部經理蘇伯榮說:「ezTravel成立以來,我們一直在尋找旅遊網站的經營模式,到目前為止證明我們的策略是成功的。」
創新產品成功歸功於資訊化
到底ezTravel出色的地方在哪裡?行銷處主任陳美筑說:「產品的創新及差異性,是我們最大的資產,也是成功的關鍵。」ezTravel總經理游金章經營旅遊業已有三十多年經驗,因此深諳消費者需求,在轉而經營線上旅遊業務後,仍因前瞻的眼光與做法,贏得消費者的青睞。

陳美筑說:「我們提供的產品是國內最多樣的;我們不但擁有一般網路上看得到的產品,更有很多其他人沒有的創新產品。例如很早之前推出的『屏東黑鮪魚季』國內旅遊,就是我們跟屏東縣政府合作所開發出的產品;以及後來的『墾丁之星』、『溫泉公主號』等環島火車,都是我們獨家承攬的,也深受各界喜愛。」

而最近ezTravel推出的國外GV2自由行方案,可以讓消費者自由地選擇航空公司、旅遊天數、入住飯店,或加買一日遊行程等,更是顛覆了傳統旅行社的做法,成為業界的創舉。「GV2自由行方案,裡面牽涉到非常複雜的資訊提供與下單控制機制。讓旅遊商品模組化,是線上商品的特性,這是傳統的旅行社根本做不到,因為他們光是解釋這樣的做法及行程,就得花很大的成本。」蘇伯榮說。「我們把所有的資訊都清楚地放在網路上,消費者就可以自己選擇。他們可以把所有的東西都放到菜籃裡,再組合出最喜歡的行程。」他補充說,這樣的「客製化」目標正是消費者需要,但以前做不到的。

另外一個很關鍵的重點在於資訊化大大提升了旅遊業的營業額。蘇伯榮指出,以前傳統旅行社從接到客戶電話到結案,大概要一個小時,但ezTravel在整個網路化之後,發現從使用者查詢行程到訂單成立大概只要十分鐘。「訂單成立時間縮短,訂單量增加,成行率提高,因此營收也增加。我們發現,旅遊結合網路是非常好的方式。這也是目前我們最大的收穫。」而資訊部門更是盡力將整個後端流程簡化,讓消費者可以擁有最美好的旅遊行程購買經驗。

營運不中斷是首要挑戰
在ezTravel成立的頭兩年,傳統電話與網站接單的比例是7:3,第二年後半段到現在已經完全顛倒,網站接單的比例已高達八成。目前ezTravel平均一天可接獲1,300多筆訂單,也就是說幾乎每分鐘都有訂單進來,因此網路的正常運作就成了最重要的課題,因為一旦網路出問題,公司營運將形同中斷,而這正是ezTravel最大的挑戰。

蘇伯榮指出,ezTravel乃是集結散客形成市場,進而造就品牌,成立至今已累積了將近90萬筆的交易紀錄,而這些資料是首先必須被保護的資產。「包括客戶的行程、時間、同行者,以及付款紀錄、信用卡資料等,都受到保護,我們嚴格禁止公司內部人員或第三者來詢問、調閱這些資料。」

蘇伯榮指出,這些資料的查詢權限在IT人員身上,客戶端則可以透過一個內部的ERP系統來查,但基本上都有權限的限制。其次需要保護的是會員的基本資料,ezTravel約掌握了140萬筆會員資料,截至目前這些資料都在嚴密保護中。

「DB是最主要的,不能當機,也不能因任何形式的攻擊而變慢。」蘇伯榮指出,「目前我們是採雙主機備援方式。」除了機房用一台磁帶機做備份外,另外又購置了一台備份SERVER,直接記錄每台主機的資料,雙重備份確保資料安全,並解決了磁帶機備份須時較久的問題。

整個主機乃委由IDC代管,但仍內建防火牆,將安全掌握在自己手上。「我們與IDC之間有一條光纖,其中20M是我們獨家使用的,另外我們也申請了一條E1的線路,來當這條線的backup。」

針對ezTravel旅遊網站的品質特性,資安工作的目標大致上分成四大塊:

1.資訊品質 因為消費者是從網站上得到所有的旅遊資料,因此網站上提供的內容必須非常正確,所有資料不管是各單位或遠從高雄分公司建置的,都會保持其一致性。

再者是會員基本資料,一旦發現IT人員用不正常的方式進入資料庫,或不當地查詢大筆資料時,系統會發出通知。蘇伯榮說,「直接從IT人員這邊來防治,會比較快速、有效。至於那種將客戶資料一筆一筆印出來的方式,我們在現場的主管就可以查核得到。」

2. 系統品質 系統品質從防火牆、防毒及防駭三個方面來著手。蘇伯榮指出,目前ezTravel的網路是採「開放式架構,集中式管理」,也就是資料庫集中在總公司,連線進來時是透過intranet。在每一分公司的節點皆設有內部gateway,從內部控管,當有異常或不正常登入時,馬上會發現。

蘇伯榮指出,據他們的統計,公司的service信箱平均每週收到6,000封左右的正常信件,然而同時會收到22,000多封夾帶病毒的郵件,大量的病毒郵件造成網路安全威脅,因此防毒部份有內部PC的防毒伺服器在控管,蘇伯榮指出以前公司員工未滿100人時,防毒是採用單機版的方式,然而現在人數已將近300人,因此必須借助server才能做防毒的工作。此外,每週也會收到23, 000多封的廣告信件,垃圾信降低了人員及系統的工作效率,所以 ,從今年開始使用SPAM Server來過濾信件。

防駭部分,目前做法是建置IDS與IDP。以ezTravel最近的歷史資料來看,一個月平均會遭受到5次左右的蠕蟲攻擊,而這並不是防火牆能完全防堵的。蠕蟲攻擊的影響主要是造成網頁下載變慢,訂單交易減少。裝了IDS與IDP之後,讓網管人員找到攻擊源的IP,將它鎖定,不讓它們再發出攻擊。

一份由交大網路測試中心所做的「電子商務網站服務、安全與效能測試評比報告」指出,ezTravel在安全方面得到滿分5.0分,網站服務3.5分,效能4.5分,為受評比的休閒旅遊業裡的第一名,並得到電子商務的金質獎章,蘇伯榮認為由此可證明他們在電子商務的安全上投入很大的心力。

3. 服務品質 服務品質方面,蘇伯榮表示,他們比較著重在內部行為的控管。「我們是從旅遊交易的個案中來學習。例如曾有消費者盜刷信用卡,在該案例發生之後,我們訂了一個作業標準,也就是如果發現刷卡金額較高或異常,我們會主動打電話給客戶、比對身分,還有做一些持卡人的認證,若一切沒問題,這筆訂單才會成立,也就是先做事前的預防。」

至於什麼樣的狀況會被判定為金額異常?舉例說,例如購買國內機票,一個人買個一、兩張是正常的,但如果他買了十張,金額過大,業務人員就會有所警覺。再者,上ezTravel的通常是散客,以購買2到4人的商品頻率最高,但若一次訂個十個人的團,就不太正常。「有些端倪可以提供我們做判斷,但這些並不是每個新進的業務人員都會知道的,因此我們從銷售到客服端,都建立了一套作業流程,把經驗傳承下去。」

蘇伯榮說:「發現盜刷,我們會透過IT人員去調出這筆資料,內部公布持卡的卡號及姓名,讓相關人員及總經理等高階主管知道,並通報銀行這個異常的行為。」他指出,公司成立第二年時,盜刷發生頻率最高,這兩年在業務及客服人員的警覺,以及消費者必須提供真實身分證明的規定之下,盜刷事件已經減少很多。

4.安全品質 蘇伯榮認為,線上交易愈安全,顧客就愈放心。他指出,現在一般都是採用金鑰長度128BIT的機制或SSL,此外,ezTravel在目前採用較新方式是跟中國信託做一個「線上VISA 3D」的認證。此一3D加密的技術就是在網站上申請一個帳號,它會提供一組密碼給消費者,用此來保障網路交易的安全。

他補充說明道,VISA現在所推出的3D交易認證機制只有中國信託、台新銀行及聯邦銀行採用,消費者連線到自己的發卡銀行,並設定一組只有自己知道的密碼,此後只要消費者在網路上刷卡消費,就須輸入那組密碼,如此一來,可以防止信用卡被盜刷,消費者本身可以選擇要提供或不提供VISA驗證。蘇伯榮指出:「我們是國內最大的採用VISA驗證的交易平台。」他強調,「做這個驗證代表我們對線上交易安全的重視程度。」

對於內部的資安宣導及資安教育,蘇伯榮認為最重要的是對內部人員的資安觀念宣導。他說:「不斷透過每個月、每個CASE的個案分析,來告訴員工哪些該做、哪些不該做,是很重要的。」他指出在公司內,一是從客服端來做,由客服主任主導,利用旅遊個案來做宣導,或聘請資訊安全講師來演講;二是在資訊人員內部,會有資訊人員的每週/每月檢核表,以確實確認每台主機或每筆交易的安全性,當然他們也得參與教育訓練以及內部的個案討論。

資訊人才缺乏
當被問到資訊或資安建置面臨的困難時,蘇伯榮回想四年多前進入ezTravel時,遍尋不著合適的軟體開發公司的窘境。「國內有很多軟體開發公司針對銀行、證券、製造業等業者開發軟體,但針對旅遊業開發軟體的廠商卻付之闕如,因為當時國內旅遊業大大小小約有一千多家,可是整個資訊化程度卻非常低,通常是3、5人共用一台PC,因此找不到廠商開發ERP系統。我們調查了60幾家,好不容易才找到合適的合作對象。」

他也提到,當時旅行社要吸納IT人員是非常難的,因為大家想不出來旅行社為何需要IT人員。「直到現在國內旅行業的資訊化程度逐漸在提高,大家也認同線上旅遊是一個蠻好的模式,才慢慢吸引一些人才進來。」他自己則說:「現在你就算要我離開旅遊業,我也離不開了,因為我發現旅遊業還有很多改善空間。」

資安方面,即使ezTravel資訊化程度已相當高,但蘇伯榮仍須面對與管理部門在資安建置上的認知落差。「我們想做到滴水不漏,但要花的金額會很龐大。克服的方式就是告訴管理階層,如果不做的話會影響營運多少,用數據的方式來跟上面溝通。」蘇伯榮說,「現在安全維運對我們而言變得很重要。以今年IT預算一千多萬來看,資安建置就佔了40%,比起當初,真是不可同日而語。」

以資安為後盾拼上櫃
ezTravel預計在今年上櫃,輔導顧問除了幫他們做資安稽核之外,更制訂一些SOP及緊急應變計畫,並把資安政策的制訂列為輔導重點。「例如之前提到所有匯出的資料要做管制,或資訊人員的雙重控制,都未予以文件化。我們現在正在改善這個部分,因為文件化之後才能傳承。」

對未來,蘇伯榮考慮在產品面導入弱點偵測服務。在政策面,則是體認到應變與回復處理能力的重要性,並希望藉由SOP的制訂,讓即使發生問題也能在最短的時間內處理。

就如同總經理游金章常告訴ezTravel同仁的一句話:「每一次交易都要從讓顧客驚奇做起」。ezTravel無論是網站旅遊資訊、行程選擇到訂單成立,每一個動作都有強大的資訊及資安能力做後盾,因此帶給消費者最美好的旅遊行程購買經驗。