最近在阿里部门内部做分享，其中一页PPT是讲在IT公司中安全团队的地位，当时我分了5档，依次是：无安全团队，救火员，医生，阉党，元首。之后被同事转发，微博上讨论热烈，但是和我当初的想法有所出入，还是有必要解释一下。

无安全团队: 一般创业公司或者小型公司，由于处于业务的挣扎期，它们的首要目标是存活和争取市场，猛糙快是这类公司的特点。然而待遇有限，招来的程序员很少具有安全意识，更别说有专业的安全团队。软件/网站漏洞多很常见，如果被攻击（如DDoS等）基本靠堆硬件（抗DDoS、WAF等等）或者向传统安全公司寻求帮助。不过现在的一些高防IDC和基于云服务的厂商都提供了不少解决方案，让这些小公司多少能喘口气。

救火员：当一个公司的规模开始变大，业务会越来越多，当然树的靶子也越来越大。在遭受了若干次入侵之后，公司开始意识到需要招聘专职的安全人员来处理应接不暇的安全事件。可惜冰冻三尺非一日之寒，如果不从设计和实现上加入安全的考量，那么安全人员的处境就很可悲了，天天要面对火烧眉毛的烂摊子。如果不幸又趟上个不开明的领导，会认为“不出事是应该的，出了事就是安全人员的责任”，对外还要表态“我们的产品没有问题，请教大家放心”，这种夹板气应该会有很多人共鸣的。实事求是的说，大部分大型公司都正处于或者曾经处于这种状态，包括某些大名鼎鼎的巨无霸们。

医生：又分两种，专科医生和保健医生。这类公司的安全团队，基本上已经介入了公司业务的设计、实现和运维，只不过前者是被动介入，后者是主动介入。不管是哪一种，至少公司业务层面上的人员对于安全团队的作用是认可的，他们之间的关系是平等和谐的，这也是我认为最理想的状态。

阉党：这类公司的安全团队，也介入了公司业务的设计、实现和运维，只不过他们的作用不被接受。当遭受抵制之时，安全团队只好祭出大招，让高层出面推动。业务团队表面上顺从，暗地里却在某些App上咒骂这些阉党狐假虎威。也许安全团队的沟通方式存在问题，但只有业务团队明白安全也是业务的一种功能，安全团队的这顶帽子才能拿下。

元首：安全团队由于被敬仰和膜拜，在公司里处于权威地位，所有的事情都优先得到处理，纯互联网公司很少见，而安全传统公司的研究部门 基本都属于这种情况（如绿盟安全部）。

可见，一个企业安全想做好，需要三个要素：管理层的重视、开发者的支持、靠谱的安全团队。

最近几年，入侵导致商业公司重大损失的比比皆是（顾客用脚投票，CEO辞职，股市市值缩水……），真心希望大家引以为戒，善待安全，善待人才！