一個(gè)穩(wěn)定的物理結(jié)構(gòu)需要至少三根支撐，工業(yè)網(wǎng)絡(luò)安全也需要三根“支柱”作為有效網(wǎng)絡(luò)安全的基礎(chǔ)控制工程網(wǎng)版權(quán)所有，這三根支柱就是技術(shù)、政策和法規(guī)、還有人。

分層網(wǎng)絡(luò)

第一根支柱是技術(shù)，安全技術(shù)也是最容易識(shí)別和量化的，因此也是組織網(wǎng)絡(luò)安全工作的主要關(guān)注點(diǎn)。然而，盡管技術(shù)非常重要，它也并不就比其他兩根支柱更加不可或缺。安全技術(shù)管理用戶和系統(tǒng)的授權(quán)、接入控制、防火墻、病毒保護(hù)軟件、數(shù)據(jù)加密、網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)、網(wǎng)絡(luò)聯(lián)機(jī)控制系統(tǒng)和網(wǎng)絡(luò)安全。

基于技術(shù)的網(wǎng)絡(luò)安全系統(tǒng)就像門(mén)上的鎖和建筑物內(nèi)的移動(dòng)探測(cè)器。它們可以提供對(duì)于非專業(yè)攻擊的保護(hù)，但是如果是專業(yè)攻擊，任何技術(shù)都無(wú)法防范。最近，美國(guó)國(guó)土安全部的專家在一些會(huì)議上展示了侵入控制系統(tǒng)是多么的容易。這些被侵入的系統(tǒng)實(shí)際上也擁有配置完好的防火墻，有多層密碼保護(hù)，并且有網(wǎng)絡(luò)接入控制的侵入探測(cè)系統(tǒng)。這些仿真的入侵顯示，需要實(shí)施多種技術(shù)才能構(gòu)建有效的網(wǎng)絡(luò)安全工業(yè)系統(tǒng)。

有效的政策

第二根支柱就是一系列現(xiàn)有制定完好的政策和法規(guī)。政策和法規(guī)確定了如何以一種有效的方式應(yīng)用技術(shù)安全解決方案。它們可以按照配置的要求將知識(shí)封裝起來(lái)，還可以評(píng)價(jià)你的網(wǎng)絡(luò)安全系統(tǒng)。所謂的政策和法規(guī)首先是定義制定總體安全政策的依據(jù)，以及應(yīng)用到其他政策和法規(guī)的風(fēng)險(xiǎn)成本規(guī)則。安全政策不需要定義使用的技術(shù)。技術(shù)解決方案可以改變，但是政策應(yīng)該定義出實(shí)施所有技術(shù)的具體要求。政策和法規(guī)應(yīng)該針對(duì)具體的安全組織、資產(chǎn)管理、接入控制、事故管理、商業(yè)持續(xù)計(jì)劃、合規(guī)管理、供應(yīng)商選擇、安全系統(tǒng)維護(hù)和通訊管理方式進(jìn)行設(shè)計(jì)。

安全培訓(xùn)

第三根支柱則是經(jīng)過(guò)培訓(xùn)和激勵(lì)的人員。如果沒(méi)有合適的人員支持的話，即便是最好的技術(shù)、政策和法規(guī)也不能形成有效的安全系統(tǒng)。您的員工必須要受過(guò)安全技術(shù)和安全程序方面的教育。安全程序方面的教育成本一般比較低，可以集成到公司其他的有關(guān)安全和法規(guī)方面的培訓(xùn)一起。而安全技術(shù)方面的教育一般需要借助外部培訓(xùn)，因此比較昂貴，但是如果技術(shù)必須要合理安裝和使用的話，這項(xiàng)工作又是必不可少的。沒(méi)有經(jīng)過(guò)培訓(xùn)的工作人員安裝和維護(hù)技術(shù)解決方案，就很容易出現(xiàn)安全錯(cuò)覺(jué)。除此之外，即便是受過(guò)最良好教育的人員也必須要進(jìn)行激勵(lì)，讓他們正確地執(zhí)行政策和法規(guī)。激勵(lì)是要讓人們理解系統(tǒng)的效果以及政策和法規(guī)的制定初衷。還有一點(diǎn)非常重要，就是要讓員工了解，注意力不集中和松懈的操作都可能會(huì)對(duì)他們的公司、工作乃至社會(huì)造成非常惡劣的影響。激勵(lì)還包括對(duì)政策和法規(guī)進(jìn)行補(bǔ)充，讓員工提出改進(jìn)安全政策和法規(guī)的建議。

工業(yè)網(wǎng)絡(luò)安全系統(tǒng)必須建立一個(gè)穩(wěn)定的技術(shù)平臺(tái)、政策和法規(guī)以及人員基礎(chǔ)之上。如果有一個(gè)元素缺失，系統(tǒng)的性能就會(huì)受到削弱，并且容易受到攻擊，給安全、企業(yè)、工作和社會(huì)帶來(lái)嚴(yán)重的后果。