美国国防先期研究计划局（DARPA）近日与美国Perspecta公司的研究部门Perspecta实验室签署“配置安全”（ConSec）项目合同，总资金投入540万美元，为期三年半。

2017年11月，DARPA信息创新办公室（I2O）启动ConSec项目，拟投入4500万美元，研发能够自动分析和改进复杂系统配置的技术，提升商用现货（COTS）电子元器件的可信计算能力和减少网络空间攻击。

DARPA表示，一方面物联网的快速发展正带来巨大挑战，飞机和重要基础设施等物联网和网络互连系统数量的增长带来了前所未有的技术多样性。但多种类型的互连系统也给网络攻击带来了大量机会。这些攻击包括从被恶意软件感染的家用物联网设备到针对互联网基础设施的分布式拒绝服务（DDoS），再到针对工业控制系统的远程攻击。

另一方面，通用的COTS器件和子系统在军事应用中使用量的持续增长使得网络空间攻击所带来的威胁更加严峻。COTS器件的使用减少了平台的多样性，曾经使用的是满足特定用户需求的定制器件，现在使用的则是便宜且通用的器件。例如，CPU市场主要由ARM、x86和流处理器组成。在这种变化过程中，可信计算和安全成为次要考虑因素，软件逻辑和其配置提供了更易实现的网络空间攻击机会。COTS器件的供应商一直在努力确保其产品尽可能灵活和通用，以实现最大范围的使用，但这意味着军事系统的所有者必须要应对可能出现的网络攻击和承担减少网络攻击而带来的成本。

ConSec项目目标是研发能够自动产生、部署和强化用于军事平台的器件和子系统配置的技术，提高军事领域用可负担和通用COTS电子器件和子系统的可信计算能力，以及减少网络空间攻击的薄弱环节。DARPA希望通过将每个器件的配置视为系统行为和安全的一个元素，寻找到方法帮助国防企业研发出更安全的可信计算配置，在不需要新的软件研发或大的硬件改动前提下，能够提升系统安全性。

该项目将为军事平台的器件和子系统配置的自动生成、部署、适应和执行研发一个系统。DARPA寻求创新型研究提案来研发能够自动分析和改进复杂组合系统的配置，以此来减少攻击面和保证预期的行为。提出的研究应该调查支持在科学、器件或系统上的变革性进展的创新型方法。尤其要避免的是对现有措施状态的变革性改进。

ConSec项目将包括三个阶段。第一个阶段为期15个月，将聚焦于读取操作环境信息、配置、人类标准操作步骤所需的工具和技术的初步研发，对家居网络等系统的有意行为进行建模。第二个阶段为期15个月，将聚焦于安全系统，如重工业平台、小型工业控制和监视控制系统、数据采集系统。第三个阶段为期12个月，将聚焦于使用运行加强和系统验证等手段来加强安全配置。测试和演示将通过两个独立的安全军事系统进行。

电子元器件和子系统在用于军事领域时需要一系列配置，以减少系统的薄弱环节，进而最小化网络空间攻击，并维持系统功能和性能。DARPA官员说，该项目将为用于军事平台的器件和子系统的配置研发可自动生成、部署、使用和强化的系统。这些配置参数将修复系统漏洞来最小化网络空间攻击通路，同时保持系统的功能和性能。

在该项目中，Perspecta实验室将为攻击面最小化（OCCAM）系统设计、开发、演示、测试和交付结合特定情境优化的配置。OCCAM将自动生成快速、大规模、正确且安全的配置，以及人类可读的支持证据，以便于平台到改进配置间的转换。正确的配置对于系统的高效和安全操作至关重要。