随着电网等关键基础设施组件变得更加复杂，它们也越来越依赖数字网络和智能传感器来优化运营，因此更容易受到网络攻击。在过去几年中，对关键基础设施的网络攻击变得越来越复杂和破坏性，导致系统关闭、操作中断，或使攻击者能够远程控制受影响的系统。重要的是，成功攻击关键网络物理系统的影响是多方面的，这意味着影响不仅限于受损系统的运营商所遭受的损失，还包括依赖其服务的其他方的经济损失以及公共安全或环境危害。

根据刚刚发表在《风险分析》杂志上的这项研究，这使得有一种工具能够区分网络风险的不同方面，并允许设计能够最有效地利用有限资源的安全措施变得非常重要。这两位作者着手回答这方面的两个主要问题：第一，是否有可能发现漏洞，利用漏洞可以为几种攻击场景的继续提供途径；第二，如果有可能利用这一知识，部署应对措施，同时保护系统免受多种威胁。

通常管理网络威胁的方法之一是通过风险矩阵对单个攻击场景进行分析，根据感知的紧迫性（取决于其发生的可能性和潜在影响的严重程度）对场景进行优先级排序，然后依次解决这些问题，直到所有可用的网络安全资源都用完。然而，作者认为，考虑到不同攻击场景之间以及可用安全措施之间的潜在协同作用没有得到考虑，这种方法可能会导致资源分配不理想。

“现有的评估框架和网络安全模型假定系统运营商的观点，并支持其成本效益分析，换句话说，安全措施的成本与成功网络攻击的潜在损失。然而，在关键基础设施的安全方面，这种方法并不令人满意。，潜在影响是多方面的，可能会影响多个利益相关者。我们试图通过明确建模成功网络攻击的多个相关影响维度来解决这个问题。“首席作者PiotrŻebrowski解释道，他是国际应用系统分析研究所（IIASA）推进系统分析项目人类自然系统探索建模研究小组的研究员。

为了克服这一缺点，研究人员提出了一个量化框架，该框架以包含多种攻击场景的更全面的网络安全格局为特征，从而更好地评估漏洞。为了做到这一点，该团队开发了一个贝叶斯网络模型，代表了一个系统的网络安全环境。这种方法在过去几年中得到了普及，因为它能够以概率的方式描述风险，并明确地将有关风险的先验知识纳入模型中，该模型可用于监控网络威胁的暴露情况，并允许在某些漏洞被利用时进行实时更新。

除此之外，研究人员还在贝叶斯网络的基础上建立了一个多目标优化模型，该模型明确表示了成功网络攻击潜在影响的多个维度。该框架采用了比标准成本效益分析更广泛的视角，并允许制定更微妙的安全目标。该研究还提出了一种算法，能够确定一组最佳的安全措施组合，同时最大限度地减少各种类型的预期网络攻击影响，同时满足预算和其他限制。

研究人员指出，虽然在网络安全中使用此类模型并非完全闻所未闻，但此类模型的实际实施通常需要对系统漏洞进行广泛研究。然而，在他们的研究中，该团队提出了如何基于一组攻击树构建这样一个模型的建议，这是业界在安全评估中常用的攻击场景的标准表示。研究人员借助美国电网安全评估中提供的现成攻击树展示了他们的方法。

Żebrowski指出：“我们的方法提供了明确表示和减轻系统运营商以外的不同利益相关者对成功网络攻击后果的暴露的可能性。这使相关利益相关者能够有意义地参与塑造关键基础设施的网络安全。”

总之，研究人员强调，从系统的角度看待网络安全问题很重要。这对于建立一个更准确的关键基础设施网络威胁格局，以及为了多个利益相关者的利益高效、包容地管理重要系统，都至关重要。