一个稳定的物理结构需要至少三根支撑，工业网络安全也需要三根“支柱”作为有效网络安全的基础控制工程网版权所有，这三根支柱就是技术、政策和法规、还有人。

　　分层网络

　　第一根支柱是技术，安全技术也是最容易识别和量化的，因此也是组织网络安全工作的主要关注点。然而，尽管技术非常重要，它也并不就比其他两根支柱更加不可或缺。安全技术管理用户和系统的授权、接入控制、防火墙、病毒保护软件、数据加密、网关、入侵检测系统、网络联机控制系统和网络安全。

　　基于技术的网络安全系统就像门上的锁和建筑物内的移动探测器。它们可以提供对于非专业攻击的保护，但是如果是专业攻击，任何技术都无法防范。最近，美国国土安全部的专家在一些会议上展示了侵入控制系统是多么的容易。这些被侵入的系统实际上也拥有配置完好的防火墙，有多层密码保护，并且有网络接入控制的侵入探测系统。这些仿真的入侵显示，需要实施多种技术才能构建有效的网络安全工业系统。

　　有效的政策

　　第二根支柱就是一系列现有制定完好的政策和法规。政策和法规确定了如何以一种有效的方式应用技术安全解决方案。它们可以按照配置的要求将知识封装起来，还可以评价你的网络安全系统。所谓的政策和法规首先是定义制定总体安全政策的依据，以及应用到其他政策和法规的风险成本规则。安全政策不需要定义使用的技术。技术解决方案可以改变，但是政策应该定义出实施所有技术的具体要求。政策和法规应该针对具体的安全组织、资产管理、接入控制、事故管理、商业持续计划、合规管理、供应商选择、安全系统维护和通讯管理方式进行设计。

　　安全培训

　　第三根支柱则是经过培训和激励的人员。如果没有合适的人员支持的话，即便是最好的技术、政策和法规也不能形成有效的安全系统。您的员工必须要受过安全技术和安全程序方面的教育。安全程序方面的教育成本一般比较低，可以集成到公司其他的有关安全和法规方面的培训一起。而安全技术方面的教育一般需要借助外部培训，因此比较昂贵，但是如果技术必须要合理安装和使用的话，这项工作又是必不可少的。没有经过培训的工作人员安装和维护技术解决方案，就很容易出现安全错觉。除此之外，即便是受过最良好教育的人员也必须要进行激励，让他们正确地执行政策和法规。激励是要让人们理解系统的效果以及政策和法规的制定初衷。还有一点非常重要，就是要让员工了解，注意力不集中和松懈的操作都可能会对他们的公司、工作乃至社会造成非常恶劣的影响。激励还包括对政策和法规进行补充，让员工提出改进安全政策和法规的建议。

　　工业网络安全系统必须建立一个稳定的技术平台、政策和法规以及人员基础之上。如果有一个元素缺失，系统的性能就会受到削弱，并且容易受到攻击，给安全、企业、工作和社会带来严重的后果。