硕天科技通过 CREST 渗透测试 强化 PowerPanel Cloud 云服务的网络安全信心

随着数字经济时代来临，「产品服务化」（Product-as-a-Service）成为制造商创新转型的关键途径。长年自行设计、生产与营销「CyberPower」品牌电源保护产品的硕天科技，迎合这个趋势，于去年（2020）六月推出PowerPanel Cloud云端解决方案，协助用户随时随地监控与管理自家部署的CyberPower不断电系统（UPS）。

硕天科技软件部资深经理林咏翔归纳，PowerPanel Cloud蕴含几项优势，除支持24小时全球使用、实时警报、人性化界面，并适用所有高中低阶CyberPower UPS外，还标榜拥有高安全性。为证明它达到一定网络安全层级，硕天决定高规格的测试要求，参考全球知名CREST组织所公告的渗透测试合格厂商名录，委请中国被认可的仲至信息科技科技，依国际标准对PowerPanel Cloud 进行完整检验。

林咏翔表示，UPS是提供电力备援的基础设施，多数用户皆以UPS保护网络设备、数据库主机等重要装置，以确保关键服务不中断，显见UPS极为重要。因此用于远程监控与管理UPS的PowerPanel Cloud服务，绝对需要具备最高等级的安全性，才能有效避免黑客入侵、防止客户端的电力架构遭不当控制或破坏。

「硕天向来重视网络安全，自我要求以最高标准来测试PowerPanel Cloud，」林咏翔说，硕天先前寻求外部顾问公司的协助，针对PowerPanel Cloud执行渗透测试；但问题在于顾问公司仅凭自身的规范与经验做检测，未基于任何产业标准，硕天受测后根据修改建议加强安全性设计，但并不确定是否达到可受信任的安全等级，且没有客观之第三方认证。

因此硕天持续探寻一些在国际上广受采用的渗透测试标准，后来辗转接触仲至信息科技、进而获知CREST组织，了解它是一家非盈利性的国际网络安全认证机构，通过认证的266间公司遍布全球，且深受金融业、高科技业的信赖。几经评估，硕天认为通过CREST测试，将可增进PowerPanel Cloud的安全性与可靠度，因而委托仲至信息科技执行，并期望取得CREST测试后，能够提升用户对于PowerPanel Cloud的安心与信心。

当初硕天寻求外部网络安全专业公司协助时，曾接洽多个对象，最终决定与仲至信息科技合作，主要基于几个原因。首先硕天自认强项不在网络安全领域，有许多琐碎、未被收敛的问题待厘清，仲至信息科技的团队透过其专业性与标准流程，协助引导硕天理解这些问题；其次硕天急欲寻求国际网络安全标准认证，但多数征询对象并未针对这个方向给出具体提案，唯独仲至信息科技提供许多宝贵信息，针对现今可供选择的国际标准、逐项制作详细简报，并动员技术人员与硕天进行细部沟通，协助硕天一步步梳理出最合适的认证选项。

林咏翔接着说，再者执行渗透测试后，辛苦的一方是硕天开发团队，可能需要执行修正工作，其间也难免有诸多疑问，对此仲至信息科技允诺提供专业支持，藉由顾问服务形式，协助硕天找到最佳修正方向。基于这些理由，硕天选择与仲至信息科技建立合作关系。

当硕天选定CREST方案后，仲至信息科技随即展开细腻的需求访谈，且针对硕天提出的任何问题，迅速给予精准回复，帮助硕天加速拟定最合宜的测试方向；此外硕天开发团队的任务繁重，同时间需要执行产品开发工作，以致屡屡需要调整测试时程，仲至信息科技皆全力配合，使林咏翔对仲至信息科技的专业实力和服务态度深感赞许。

今年二月结束初测后，仲至信息科技提出完整报告，并依照问题迫切性、列举高中低不同级别的安全维护建议。接着硕天举行内部讨论，针对修正过程可能遇到的种种实务挑战，向仲至信息科技提出多次询问，探讨有无较不耗费时间与资源的做法、仍可达到相同的网络安全强化效果，经过来回研议，确定最终的修改方向；而在完成修正后硕天取得了带有CREST标章的渗透测试报告，也等同正式宣告PowerPanel Cloud产品具备国际级的网络安全质量。

目前硕天在欧、美、亚、澳洲等地设有销售据点，也在北美、法国、德国、俄罗斯等市场缔造不俗销售佳绩。由于客群散布各地，不宜仅以个别顾问公司的在地经验、来评断PowerPanel Cloud的网络安全防护力，因而勇于寻求高规格的国际级CREST渗透测试，委托仲至信息科技执行严谨的网络安全检测，期盼取得最充分证明，确认硕天产品安全可受信赖，使客户真正安心采用PowerPanel Cloud云端服务。