鑽石舞台

說起與安全的淵源，於明亮提到了他的母校——北京郵電大學。2002年，於明亮就讀於北京郵電大學通信工程專業。據他回憶，通信工程專業也要學習大量的計算機專業相關知識，「不務正業」的他對計算機產生了濃厚的興趣。當時，北郵作為全國遠程教育試點的四所院校之一，在那個年代，可以讓每一位學生有機會接觸電腦和網絡，於明亮就在這種良好的氛圍下走進了信息安全的世界。他沉迷在人與賬號之間的關聯，探究着計算機與網站之間的漏洞。

本科畢業後，於明亮在北郵繼續攻讀碩士學位。這一年，於明亮進入IBM實習，這是他第一次接觸真正的安全。「那時候國內幾乎沒有網絡安全的概念，很多安全域都不是很清晰。」於明亮回憶道：「我當時進入IBM，接觸的第一個項目就是RQM系統開發。」他在IBM實習的過程中了解了包括權限控制，角色管理等方面的內容，對於他而言，IBM是他於安全的第一次啟蒙。

和一些網安專家不同的是，於明亮很純粹，這種純粹表現在他的工作經歷中。從碩士畢業到現在，於明亮在中國航信一干就是十多年。起初，於明亮負責TYPeB轉報等基礎系統的開發工作。這份工作讓他離安全很近，但是卻始終沒有真正進入安全領域。直到2015年，他迎來了轉機。

2015年6月24日，一條虛假短信發到了任女士的手機上。短信上顯示，她所預訂的航班因故取消，可通過撥打短信上的400電話進行改簽服務。任女士不疑有他，按照短信上的提示和400客戶將錢轉到不知名的銀行卡號上。後來任女士發現被騙，選擇報警。根據公安機關的調查顯示，犯罪嫌疑人通過QQ群購買了旅客乘機信息，然後用偽造的400官方號碼騙取被害人的信任，最終騙取財物。

此事一出，讓中國航信的領導焦頭爛額，他們知道，建立系統的、安全的數據防護已經刻不容緩。可在此之前，已經有多位網絡安全行業的專家由於這樣那樣的原因無功而返。看到了外來人才的「水土不服」，中國航信決定在內部篩選人才，於明亮進入了候選名單。

當公司領導找到他的時候，於明亮驚喜交加，一方面，他知道自己終於能夠進入那深深吸引他的領域；另一方面，於明亮清楚地知道作為中國民航業數據存儲的中心，中國航信的安全工作並不好做。一時間，於明亮也不知該如何選擇。

真正讓他下定決心的是中國航信研發中心副總經理張強，是張強的鼓勵，讓於明亮決心放手一搏。可是擺在他面前的，是一道前所未有的難關。

在正式進入安全領域後，於明亮面對的第一個問題就是不知道該如何下手。中國航信涉及全國幾十家民航企業和200多個機場的全部數據，整個業務鏈上所涉及的安全工作數不勝數。於明亮的安全工作也是一籌莫展，直到他接觸安在。

「幸好那個時候有安在。」於明亮回憶道。在經朋友的介紹後，於明亮進入了安在所構建的諸子云。一開始，於明亮甚至都不清楚這些人在說什麼。後來，有幾位諸子云會員給於明亮出主意，讓他先去學習下CISSP，再參加一些ISC之類的論壇，最後和專家們多交流交流。於是整個2018年，於明亮不斷豐富自己，不僅順利通過了CISSP的認證，還和很多業內專家結下了深厚的友誼。

在豐富了自身之後，於明亮開始認真探尋中國航信業務相關的安全域。首先，與其他行業不同的是，中國航信掌握着國內所有民航公司包括旅客信息、航班信息、物流數據等方面的全部數據，還有負責全國200多家機場的離港、值機、安檢等工作。另外，國內民航公司在國外業務的開展所需要的相關認證、資質等都需要中國航信的支持。

對此，於明亮根據實際情況量身定製了一份信息安全評估報告。在這份報告中，於明亮不僅說清了當前中國航信存在的問題，還將解決方案和最終成果都全盤托出，這讓中國航信內部對安全有了初步的認識。

即便如此，在推動安全項目的時候還是受到了一定阻力。這時，國內媒體開始針對民航短信詐騙展開了報道，央視的焦點訪談也針對此事展開討論。一時間，中國民航業飽受抨擊。另一方面，隨着歐盟GDPR等法律法規的實施以及國內《網絡安全法》的推出，國內的網安環境得到改善。於明亮看準時機，說服領導，開始逐步推動安全項目的實施。

首先是增加了IAM統一身份管理平台，規避了人為不當操作造成的安全後門和對旅客信息的惡意竊取；然後對敏感數據進行了篩查，進行了分類分級管理；分類分級之後，又對敏感數據進行了加解密、使用加密機保存秘鑰；加密問題解決後，根據等保的要求，又上了雙因素認證和實名認證，還有網站防篡改、數據庫監控等。在測試環境中，於明亮發現生產數據沒有得到有效保護，於是又進行了數據脫敏；隨着與海關、公檢法以及航空公司之間的數據交互，他又發現缺乏訪問權限控制，於是又進行了相關修改。在這些工作完成的同時，於明亮又配合企業完成了PCI DSS以及等保2.0的認證。

回憶這段時間的經歷，於明亮感覺充實且忙碌。這期間他發現，業務與安全需要相互配合，很多時候需要由業務驅動安全，否則即便提前發現了風險，也很難推動相應的項目。他舉了一個例子，國內民航在國外推動業務時，發現國外要求相應軟件有PCI DSS認證。因此，於明亮在推動國內PCI DSS認證時沒有受到任何阻力。

能夠在短短几年內推動這麼多項目的實施和落地，於明亮認為一方面是來自於監管的推動，另一方面還是企業內部領導對安全工作的大力支持。他表示，安全不是買菜吃飯，不能單靠需求來制定方案。作為企業的成本中心，安全部門的每一個項目，無論是資金、時間以及對業務系統的改造都十分巨大。因此，安全項目的推動更需要掌握方法。

於明亮在中國航信每月例行會議及相關講座中，不過多強調技術，而是講解有關案例。這一方面是考慮到基層員工對安全技術很難理解，另一方面也是因為安全案例能夠深入人心。他不斷篩選國內外數據泄露的案例，說服大家提升安全意識，讓大家理解安全對於每個人的影響。如此用了一年多的時間，中國航信內部的安全意識已經全面提高，這讓他的安全工作事半功倍。

在短短几年時間裡，中國航信的安全工作發生了翻天覆地的變化。可隨之而來的疫情讓整個民航業陷入了寒冬。2019年出境游旅客超過1.5億人次，可2020年疫情的爆發，讓這一數據迅速跌落。2020年出境游旅客降至2033.4萬人次，同比減少86.9%。業務的缺失讓民航業的資金迅速縮水，國東南三大航在2021年虧損超過400多億，而他們即便是在2019年出國潮的背景下，淨利潤也僅僅100億出頭。

資金短缺讓中國航信的安全工作受到了影響。於明亮表示，安全本身就難以量化，它不像其他部門投入必有迴響。安全的這一特點讓企業很難在資金方面繼續大規模的投入，去年喜茶信息安全部門全面裁員，也反映出當前安全部門的窘境。另一方面，安全也確實限制了業務的發展。於明亮表示，他清楚安全的重要性，也知道安全對於業務的影響，但這一層一層的限制的確讓用戶的體驗很差。可是不這麼做，一旦發生數據泄露，企業業務將可能會迎來沉重打擊。

東航MU5735空難讓本就捉襟見肘的中國民航業再一次迎來沉重的打擊。於明亮表示，空難的發生讓民航內部更加艱難，但在總體而言，目前的民航飛行器是一天比一天安全。他認為，中國民航即將迎來利空出盡的轉折點，到2024年以後，井噴式的出國潮將會再一次到來，到那時，民航定會再次發展，而安全部門也將迎來新的一輪機遇和挑戰。

於明亮表示，當前中國航信所面對的最大任務就是數據安全。民航作為全球化的行業，不僅要滿足國內的監管，還需要針對歐盟GDPR、美國的隱私保護法等等相關法律法規進行調整和細化，這些方面是需要深耕細琢的。

在整個職業生涯中，讓於明亮記憶深刻的不是獲得了榮譽或者取得了獎金，而是在無數個加班的夜晚，不斷思考如何進一步推進項目、如何獲得上級的支持和配合的過程。作為中國航信安全部門從0到1的見證者，於明亮表示很多工作也不是他一個人就能完成的。「集於我一人身上的榮譽抹殺了我身邊同事、領導的貢獻。」於明亮謙虛道。

這些年，在中國航信的努力下，民航詐騙案件越來越少，旅客乘機也越來越方便。航旅縱橫等APP的落地讓大家看到了中國民航的努力和進步。

目前，於明亮已經離開了自己最熟悉的安全崗位，開始了管理工作。突然的離崗讓於明亮有些不知所措，多年來在安全領域的工作已經讓他充滿感情，他表示，即便是進入管理工作也還是會帶領企業安全的大方向。作為中國航信信息安全技術工作的領頭人，於明亮相信目前企業內部的安全制度以及技術標準都很完善，未來將會關注一些查漏補缺等方面的工作。

對於接下來的目標，於明亮表示要儘快落實隱私計算相關工作。目前有很多民航的分子公司或者合作夥伴需要民航方面的數據支持，那麼隱私計算就是對這些數據最好的保護。不再用交換的方式提供數據，而是以更高級的手段，既保護了旅客信息安全，還能為這些數據需求方提供幫助。對此，於明亮認為，安全工作是沒有盡頭的。隨着人們觀點的不斷轉變，對於自身隱私保護的意識與日俱增，安全從業者將會面臨越來越高的要求和越來越細緻的工作，這也是個很大的挑戰。

民航發展不會永遠停滯，安全也不會止步於此。於明亮說，沉浸在過去獲得的成績和榮譽沒有任何意義，他會一如既往的在新的領域，為廣大旅客提供更加安全放心的環境。於明亮對中國民航業的信息安全的貢獻有目共睹，也希望他能在新的舞台繼續大放異彩。