一個穩(wěn)定的物理結構需要至少三根支撐，工業(yè)網絡安全也需要三根“支柱”作為有效網絡安全的基礎控制工程網版權所有，這三根支柱就是技術、政策和法規(guī)、還有人。

分層網絡

第一根支柱是技術，安全技術也是最容易識別和量化的，因此也是組織網絡安全工作的主要關注點。然而，盡管技術非常重要，它也并不就比其他兩根支柱更加不可或缺。安全技術管理用戶和系統(tǒng)的授權、接入控制、防火墻、病毒保護軟件、數(shù)據加密、網關、入侵檢測系統(tǒng)、網絡聯(lián)機控制系統(tǒng)和網絡安全。

基于技術的網絡安全系統(tǒng)就像門上的鎖和建筑物內的移動探測器。它們可以提供對于非專業(yè)攻擊的保護，但是如果是專業(yè)攻擊，任何技術都無法防范。最近，美國國土安全部的專家在一些會議上展示了侵入控制系統(tǒng)是多么的容易。這些被侵入的系統(tǒng)實際上也擁有配置完好的防火墻，有多層密碼保護，并且有網絡接入控制的侵入探測系統(tǒng)。這些仿真的入侵顯示，需要實施多種技術才能構建有效的網絡安全工業(yè)系統(tǒng)。

有效的政策

第二根支柱就是一系列現(xiàn)有制定完好的政策和法規(guī)。政策和法規(guī)確定了如何以一種有效的方式應用技術安全解決方案。它們可以按照配置的要求將知識封裝起來，還可以評價你的網絡安全系統(tǒng)。所謂的政策和法規(guī)首先是定義制定總體安全政策的依據，以及應用到其他政策和法規(guī)的風險成本規(guī)則。安全政策不需要定義使用的技術。技術解決方案可以改變，但是政策應該定義出實施所有技術的具體要求。政策和法規(guī)應該針對具體的安全組織、資產管理、接入控制、事故管理、商業(yè)持續(xù)計劃、合規(guī)管理、供應商選擇、安全系統(tǒng)維護和通訊管理方式進行設計。

安全培訓

第三根支柱則是經過培訓和激勵的人員。如果沒有合適的人員支持的話，即便是最好的技術、政策和法規(guī)也不能形成有效的安全系統(tǒng)。您的員工必須要受過安全技術和安全程序方面的教育。安全程序方面的教育成本一般比較低，可以集成到公司其他的有關安全和法規(guī)方面的培訓一起。而安全技術方面的教育一般需要借助外部培訓，因此比較昂貴，但是如果技術必須要合理安裝和使用的話，這項工作又是必不可少的。沒有經過培訓的工作人員安裝和維護技術解決方案，就很容易出現(xiàn)安全錯覺。除此之外，即便是受過最良好教育的人員也必須要進行激勵，讓他們正確地執(zhí)行政策和法規(guī)。激勵是要讓人們理解系統(tǒng)的效果以及政策和法規(guī)的制定初衷。還有一點非常重要，就是要讓員工了解，注意力不集中和松懈的操作都可能會對他們的公司、工作乃至社會造成非常惡劣的影響。激勵還包括對政策和法規(guī)進行補充，讓員工提出改進安全政策和法規(guī)的建議。

工業(yè)網絡安全系統(tǒng)必須建立一個穩(wěn)定的技術平臺、政策和法規(guī)以及人員基礎之上。如果有一個元素缺失，系統(tǒng)的性能就會受到削弱，并且容易受到攻擊，給安全、企業(yè)、工作和社會帶來嚴重的后果。