安全是一種狀態(tài)，即通過持續(xù)的危險識別和風(fēng)險管理過程，將人員傷害或財(cái)產(chǎn)損失的風(fēng)險降低并保持在可接受的水平或其以下。安全是一種相對狀態(tài)

安全是一種狀態(tài)，即通過持續(xù)的危險識別和風(fēng)險管理過程，將人員傷害或財(cái)產(chǎn)損失的風(fēng)險降低并保持在可接受的水平或其以下。安全是一種相對狀態(tài)，而非絕對結(jié)果，針對供應(yīng)鏈攻擊，不同的公司會采用不同的方法來緩解這一問題。

在今年的 MIT 比特幣世博會上，硬件錢包廠商Ledger 在會議現(xiàn)場演示了針對同行 Trezor 的五種攻擊方式，其中一種方式就是供應(yīng)鏈攻擊，Ledger和 Trezor 的互懟事件將硬件錢包的供應(yīng)鏈攻擊“曝光”在大眾視野之中。

對于硬件團(tuán)隊(duì)而言，供應(yīng)鏈管理是一門必修課，供應(yīng)鏈?zhǔn)鞘謴?fù)雜的，包含諸多環(huán)節(jié)，而每個環(huán)節(jié)都存在潛在風(fēng)險，因此加強(qiáng)供應(yīng)鏈的安全管理是一項(xiàng)非常復(fù)雜而又艱巨的工作。

對于安全，imKey 團(tuán)隊(duì)自始至終懷有敬畏之心，著眼于 imKey 的供應(yīng)鏈全生命周期過程，包含供應(yīng)商篩選、物料采購、生產(chǎn)制造、倉儲管理、物流運(yùn)輸、市場銷售、售后服務(wù)等階段，各環(huán)節(jié)均嚴(yán)格把關(guān)，并確保各項(xiàng)安全機(jī)制的有效實(shí)施。

imKey 團(tuán)隊(duì)的供應(yīng)鏈安全管理主要涉及以下方面：

?生產(chǎn)制造

?包裝

?貨品貯藏和運(yùn)輸

?審批第三方參與者

源頭控制，精益生產(chǎn)

imKey 作為一款硬件錢包產(chǎn)品，不同于快速開發(fā)與版本迭代的熱錢包，除了保證軟件端的設(shè)計(jì)開發(fā)的安全性外，也把相當(dāng)多的精力聚焦于是硬件生產(chǎn)供應(yīng)鏈的管理。眾所周知，供應(yīng)鏈管理向來是硬件創(chuàng)業(yè)的重中之重，是決定硬件產(chǎn)品成敗的關(guān)鍵因素。imKey 供應(yīng)鏈的管理涵蓋供應(yīng)商篩選、工業(yè)設(shè)計(jì)、配件選型、工程樣機(jī)、物料采購、BOM 物料入庫管理及來料良率把關(guān)、試產(chǎn)、大規(guī)模生產(chǎn)制造、產(chǎn)品質(zhì)量控制、倉儲管理、物流網(wǎng)絡(luò)、市場銷售、售后服務(wù)等等諸多環(huán)節(jié)。

正因?yàn)閕mKey 團(tuán)隊(duì)小伙伴們多年以來一直深耕智能硬件方向，涉及移動金融、數(shù)字身份認(rèn)證、PKI密碼體系、智能卡、可穿戴設(shè)備等領(lǐng)域，因此具備了豐富的行業(yè)經(jīng)驗(yàn)和扎實(shí)的技術(shù)沉淀。imKey 團(tuán)隊(duì)小伙伴們花費(fèi)了無數(shù)個不眠日夜進(jìn)行產(chǎn)品原型設(shè)計(jì)、優(yōu)化、改進(jìn)，同時也深知成熟、靠譜的生產(chǎn)制造商對于產(chǎn)品能否大規(guī)模量產(chǎn)以及產(chǎn)品的質(zhì)量起著至關(guān)重要的作用。

在經(jīng)過多輪洽談和多方論證評估后，imKey 團(tuán)隊(duì)與國內(nèi)知名的安全硬件供應(yīng)商飛天誠信達(dá)成共識，并簽署了戰(zhàn)略合作協(xié)議，這為 imKey 提供了強(qiáng)有力的技術(shù)支持和供應(yīng)鏈保障。

為了確保訂單按期交付以及產(chǎn)品質(zhì)量，imKey 團(tuán)隊(duì)奔赴生產(chǎn)車間，與工人共同奮戰(zhàn)一線。從貼片焊接、物料入庫全檢、焊接、組裝、QC到包裝，整整63個步驟，歷經(jīng)14天時間，imKey 團(tuán)隊(duì)全程參與，確保 imKey 錢包在生產(chǎn)過程嚴(yán)格遵循生產(chǎn)管理規(guī)程，并對產(chǎn)品進(jìn)行了苛刻的全檢、抽檢，以確保產(chǎn)品達(dá)到預(yù)期良品率。經(jīng)過了這一系列的過程，imKey團(tuán)隊(duì)小伙伴們才放心把產(chǎn)品交到用戶手中。

同時，為了避免產(chǎn)品在供應(yīng)鏈源頭被污染，一方面，錢包加入了防惡意篡改的安全設(shè)計(jì)，生產(chǎn)期間生產(chǎn)寫入時必須要進(jìn)行全面校驗(yàn)，并且產(chǎn)品首次使用時強(qiáng)制激活驗(yàn)證，這極大提高了產(chǎn)品的安全性，另一方面，用于生產(chǎn)的專用工具由 imKey 團(tuán)小伙伴使用專用設(shè)備現(xiàn)場親自導(dǎo)入生產(chǎn)服務(wù)器，確保數(shù)據(jù)自始至終都沒有被污染。

細(xì)節(jié)決定安全，不怕多此一舉

原廠包裝 & 不可逆封條 & 防偽激活驗(yàn)證

為了預(yù)防物流運(yùn)輸過程中 imKey 被惡意替換，產(chǎn)品做了兩層防護(hù)措施，一方面在包裝上采用不可逆封條，一旦撕開后將徹底無法恢復(fù)，并且發(fā)貨時必須采用飛天誠信的原廠包裝與膠帶，并約定包裝規(guī)則，作為貨物接收的簽收標(biāo)準(zhǔn);另一方面產(chǎn)品在首次使用時要強(qiáng)制進(jìn)行防偽激活驗(yàn)證，如果是非法設(shè)備將會提示用戶。

順豐直郵，安全高效

為了確保貨品交付的安全、高效，imKey 團(tuán)隊(duì)與飛天誠信簽訂協(xié)議，運(yùn)輸方式采用順豐快遞。同時，imKey 團(tuán)隊(duì)也對外承諾用戶下單后48小時內(nèi)進(jìn)行發(fā)貨，除非遇到不可抗力，運(yùn)輸也同樣采用順豐快遞，以保證運(yùn)輸?shù)臅r效性和可靠性。

目前，imKey 團(tuán)隊(duì)尚未授權(quán)其他任何個人、團(tuán)體或公司經(jīng)銷、代理 imKey 及周邊產(chǎn)品，每一臺 imKey設(shè)備均由 imKey 團(tuán)隊(duì)小伙伴親自直郵送達(dá)。

專用倉儲，專人負(fù)責(zé)

目前針對產(chǎn)品倉儲，imKey團(tuán)隊(duì)專門 建有杭州、北京兩個倉庫，充分做好防水、防火、防盜的倉儲管理安全措施，并由專人負(fù)責(zé)管理，供應(yīng)鏈安全管理是預(yù)防供應(yīng)鏈攻擊的最重要措施，重在點(diǎn)點(diǎn)滴滴的細(xì)節(jié)，安全無小事，imKey 團(tuán)隊(duì)從來不怕「 多此一舉 」，并持續(xù)不斷優(yōu)化精進(jìn)，只為「 更安全 」。（imKey）

關(guān)鍵詞： Ledger Trezor 供應(yīng)鏈攻擊