一個穩定的物理結構需要至少三根支撐，工業網絡安全也需要三根“支柱”作為有效網絡安全的基礎控制工程網版權所有，這三根支柱就是技術、政策和法規、還有人。

分層網絡

第一根支柱是技術，安全技術也是最容易識別和量化的，因此也是組織網絡安全工作的主要關注點。然而，盡管技術非常重要，它也并不就比其他兩根支柱更加不可或缺。安全技術管理用戶和系統的授權、接入控制、防火墻、病毒保護軟件、數據加密、網關、入侵檢測系統、網絡聯機控制系統和網絡安全。

基于技術的網絡安全系統就像門上的鎖和建筑物內的移動探測器。它們可以提供對于非專業攻擊的保護，但是如果是專業攻擊，任何技術都無法防范。最近，美國國土安全部的專家在一些會議上展示了侵入控制系統是多么的容易。這些被侵入的系統實際上也擁有配置完好的防火墻，有多層密碼保護，并且有網絡接入控制的侵入探測系統。這些仿真的入侵顯示，需要實施多種技術才能構建有效的網絡安全工業系統。

有效的政策

第二根支柱就是一系列現有制定完好的政策和法規。政策和法規確定了如何以一種有效的方式應用技術安全解決方案。它們可以按照配置的要求將知識封裝起來，還可以評價你的網絡安全系統。所謂的政策和法規首先是定義制定總體安全政策的依據，以及應用到其他政策和法規的風險成本規則。安全政策不需要定義使用的技術。技術解決方案可以改變，但是政策應該定義出實施所有技術的具體要求。政策和法規應該針對具體的安全組織、資產管理、接入控制、事故管理、商業持續計劃、合規管理、供應商選擇、安全系統維護和通訊管理方式進行設計。

安全培訓

第三根支柱則是經過培訓和激勵的人員。如果沒有合適的人員支持的話，即便是最好的技術、政策和法規也不能形成有效的安全系統。您的員工必須要受過安全技術和安全程序方面的教育。安全程序方面的教育成本一般比較低，可以集成到公司其他的有關安全和法規方面的培訓一起。而安全技術方面的教育一般需要借助外部培訓，因此比較昂貴，但是如果技術必須要合理安裝和使用的話，這項工作又是必不可少的。沒有經過培訓的工作人員安裝和維護技術解決方案，就很容易出現安全錯覺。除此之外，即便是受過最良好教育的人員也必須要進行激勵，讓他們正確地執行政策和法規。激勵是要讓人們理解系統的效果以及政策和法規的制定初衷。還有一點非常重要，就是要讓員工了解，注意力不集中和松懈的操作都可能會對他們的公司、工作乃至社會造成非常惡劣的影響。激勵還包括對政策和法規進行補充，讓員工提出改進安全政策和法規的建議。

工業網絡安全系統必須建立一個穩定的技術平臺、政策和法規以及人員基礎之上。如果有一個元素缺失，系統的性能就會受到削弱，并且容易受到攻擊，給安全、企業、工作和社會帶來嚴重的后果。