初论“安全体验”，信息安全幸福之道

论起从技术管理到治理的北向程度，越向北，对于人的牵扯就会越来越深，也越来越复杂。

在过去，识别和解决网络安全问题，总是从技术的角度看得比较多，从客观的攻防成败看得比较重。也就是说，我们总体来说对于健康看得比较重，对于信息系统的身体健康看得比较重。之前也初步论述过健康和幸福的区别，人的健康和幸福是两回事；而信息系统（特别是包含了人在其中的一个信息系统），其健康和幸福是两回事。我们对于信息系统的健康看得太重了，而对于幸福太忽视了。

信息系统的安全幸福，到底是一个什么？

信息系统的安全幸福，就是信息系统是否认为自己安全？

因为人是信息系统的一部分，那么所谓幸福，就是信息系统中的人是否认为信息系统是安全的，并判定自己在信息系统中是否安全。

这里说的是两句话，两个感觉（认识），一是信息系统是否安全的感觉，二是人（自己）在信息系统中是否安全的感觉（能否免责或者获利）。

而且这里谈的人，还不是一个人，而是人组成的组织和群落，有CEO、CTO、技术负责人、VP、工程师、操作人员、业务人员等等。

在互联网时代，让我们熟悉了一个词“体验”，用户体验。

而信息系统的安全幸福感，就是【安全体验】。

安全体验不像“用户体验”那么能够直接感受到，那么可以在当下就感受到，感受到方便、强大、好看、舒服、享受、低成本……

安全体验，要包含一部分这样的方便、舒服、强大；就像现实中的安全。但是现实中的安全并不是“觉得什么都好”、“什么问题都没有”就是一个好的安全体验。想想我们对于消防安全的感觉，对于公共安全的感觉。

安全体验必须包含一个平衡感，就是对于危险的一些感觉，比如危险迫近的远近程度、危险严重程度的轻重、危险可规避的难易程度……既不能乐观地无视危险的存在（因为概率永远不会是零），也不能让自己生活在无穷无尽的恐惧中。

反观，我们常见的安全产品、安全平台、安全服务、安全解决方案，对用户的安全体验和安全幸福感有没有帮助，不能说一点没有。但对于用户的安全体验到底有没有有意识地努力并做了一些工作呢？自己好好反省一下？几乎是zero，是none。

直接反应出来的情况就是，所有的安全服务项目和安全平台项目，一般导致失败的直接诱因都不是技术困难，而是项目管理问题。其实，也就是对于安全体验的管理失误，说的更直接就是对于用户的安全期望的认识、引导和管理出现重大失误。

而安全体验，区别于普通产品的用户体验，就是这种体验除了考虑甲方的期望，乙方的能力之外，还不得不考虑甲乙两方之外的作为危害和攻击的那一方，我们管它叫“癸方”（用天干地支的最后一个字）。本来甲乙两方的体验平衡，安全体验的平衡，可能被癸方的一个信息泄露，被癸方的一个漏洞发现，而彻底地打破。

安全体验是事关信息系统幸福感的重要的组成部分。

安全体验就是这么复杂而有趣。

值得去好好管理、去好好治理。

相关文章