論起從技術(shù)管理到治理的北向程度，越向北，對于人的牽扯就會(huì )越來(lái)越深，也越來(lái)越復雜。

在過(guò)去，識別和解決網(wǎng)絡(luò )安全問(wèn)題，總是從技術(shù)的角度看得比較多，從客觀(guān)的攻防成敗看得比較重。也就是說(shuō)，我們總體來(lái)說(shuō)對于健康看得比較重，對于信息系統的身體健康看得比較重。之前也初步論述過(guò)健康和幸福的區別，人的健康和幸福是兩回事；而信息系統（特別是包含了人在其中的一個(gè)信息系統），其健康和幸福是兩回事。我們對于信息系統的健康看得太重了，而對于幸福太忽視了。

信息系統的安全幸福，到底是一個(gè)什么？

信息系統的安全幸福，就是信息系統是否認為自己安全？

因為人是信息系統的一部分，那么所謂幸福，就是信息系統中的人是否認為信息系統是安全的，并判定自己在信息系統中是否安全。

這里說(shuō)的是兩句話(huà)，兩個(gè)感覺(jué)（認識），一是信息系統是否安全的感覺(jué)，二是人（自己）在信息系統中是否安全的感覺(jué)（能否免責或者獲利）。

而且這里談的人，還不是一個(gè)人，而是人組成的組織和群落，有CEO、CTO、技術(shù)負責人、VP、工程師、操作人員、業(yè)務(wù)人員等等。

在互聯(lián)網(wǎng)時(shí)代，讓我們熟悉了一個(gè)詞“體驗”，用戶(hù)體驗。

而信息系統的安全幸福感，就是【安全體驗】。

安全體驗不像“用戶(hù)體驗”那么能夠直接感受到，那么可以在當下就感受到，感受到方便、強大、好看、舒服、享受、低成本……

安全體驗，要包含一部分這樣的方便、舒服、強大；就像現實(shí)中的安全。但是現實(shí)中的安全并不是“覺(jué)得什么都好”、“什么問(wèn)題都沒(méi)有”就是一個(gè)好的安全體驗。想想我們對于消防安全的感覺(jué)，對于公共安全的感覺(jué)。

安全體驗必須包含一個(gè)平衡感，就是對于危險的一些感覺(jué)，比如危險迫近的遠近程度、危險嚴重程度的輕重、危險可規避的難易程度……既不能樂(lè )觀(guān)地無(wú)視危險的存在（因為概率永遠不會(huì )是零），也不能讓自己生活在無(wú)窮無(wú)盡的恐懼中。

反觀(guān)，我們常見(jiàn)的安全產(chǎn)品、安全平臺、安全服務(wù)、安全解決方案，對用戶(hù)的安全體驗和安全幸福感有沒(méi)有幫助，不能說(shuō)一點(diǎn)沒(méi)有。但對于用戶(hù)的安全體驗到底有沒(méi)有有意識地努力并做了一些工作呢？自己好好反省一下？幾乎是zero，是none。

直接反應出來(lái)的情況就是，所有的安全服務(wù)項目和安全平臺項目，一般導致失敗的直接誘因都不是技術(shù)困難，而是項目管理問(wèn)題。其實(shí)，也就是對于安全體驗的管理失誤，說(shuō)的更直接就是對于用戶(hù)的安全期望的認識、引導和管理出現重大失誤。

而安全體驗，區別于普通產(chǎn)品的用戶(hù)體驗，就是這種體驗除了考慮甲方的期望，乙方的能力之外，還不得不考慮甲乙兩方之外的作為危害和攻擊的那一方，我們管它叫“癸方”（用天干地支的最后一個(gè)字）。本來(lái)甲乙兩方的體驗平衡，安全體驗的平衡，可能被癸方的一個(gè)信息泄露，被癸方的一個(gè)漏洞發(fā)現，而徹底地打破。

安全體驗是事關(guān)信息系統幸福感的重要的組成部分。

安全體驗就是這么復雜而有趣。

值得去好好管理、去好好治理。