人物 | 中国航信于明亮：东临碣石，以观沧海

说起与安全的渊源，于明亮提到了他的母校——北京邮电大学。2002年，于明亮就读于北京邮电大学通信工程专业。据他回忆，通信工程专业也要学习大量的计算机专业相关知识，“不务正业”的他对计算机产生了浓厚的兴趣。当时，北邮作为全国远程教育试点的四所院校之一，在那个年代，可以让每一位学生有机会接触电脑和网络，于明亮就在这种良好的氛围下走进了信息安全的世界。他沉迷在人与账号之间的关联，探究着计算机与网站之间的漏洞。

本科毕业后，于明亮在北邮继续攻读硕士学位。这一年，于明亮进入IBM实习，这是他第一次接触真正的安全。“那时候国内几乎没有网络安全的概念，很多安全域都不是很清晰。”于明亮回忆道：“我当时进入IBM，接触的第一个项目就是RQM系统开发。”他在IBM实习的过程中了解了包括权限控制，角色管理等方面的内容，对于他而言，IBM是他于安全的第一次启蒙。

和一些网安专家不同的是，于明亮很纯粹，这种纯粹表现在他的工作经历中。从硕士毕业到现在，于明亮在中国航信一干就是十多年。起初，于明亮负责TYPeB转报等基础系统的开发工作。这份工作让他离安全很近，但是却始终没有真正进入安全领域。直到2015年，他迎来了转机。

2015年6月24日，一条虚假短信发到了任女士的手机上。短信上显示，她所预订的航班因故取消，可通过拨打短信上的400电话进行改签服务。任女士不疑有他，按照短信上的提示和400客户将钱转到不知名的银行卡号上。后来任女士发现被骗，选择报警。根据公安机关的调查显示，犯罪嫌疑人通过QQ群购买了旅客乘机信息，然后用伪造的400官方号码骗取被害人的信任，最终骗取财物。

此事一出，让中国航信的领导焦头烂额，他们知道，建立系统的、安全的数据防护已经刻不容缓。可在此之前，已经有多位网络安全行业的专家由于这样那样的原因无功而返。看到了外来人才的“水土不服”，中国航信决定在内部筛选人才，于明亮进入了候选名单。

当公司领导找到他的时候，于明亮惊喜交加，一方面，他知道自己终于能够进入那深深吸引他的领域；另一方面，于明亮清楚地知道作为中国民航业数据存储的中心，中国航信的安全工作并不好做。一时间，于明亮也不知该如何选择。

真正让他下定决心的是中国航信研发中心副总经理张强，是张强的鼓励，让于明亮决心放手一搏。可是摆在他面前的，是一道前所未有的难关。

在正式进入安全领域后，于明亮面对的第一个问题就是不知道该如何下手。中国航信涉及全国几十家民航企业和200多个机场的全部数据，整个业务链上所涉及的安全工作数不胜数。于明亮的安全工作也是一筹莫展，直到他接触安在。

“幸好那个时候有安在。”于明亮回忆道。在经朋友的介绍后，于明亮进入了安在所构建的诸子云。一开始，于明亮甚至都不清楚这些人在说什么。后来，有几位诸子云会员给于明亮出主意，让他先去学习下CISSP，再参加一些ISC之类的论坛，最后和专家们多交流交流。于是整个2018年，于明亮不断丰富自己，不仅顺利通过了CISSP的认证，还和很多业内专家结下了深厚的友谊。

在丰富了自身之后，于明亮开始认真探寻中国航信业务相关的安全域。首先，与其他行业不同的是，中国航信掌握着国内所有民航公司包括旅客信息、航班信息、物流数据等方面的全部数据，还有负责全国200多家机场的离港、值机、安检等工作。另外，国内民航公司在国外业务的开展所需要的相关认证、资质等都需要中国航信的支持。

对此，于明亮根据实际情况量身定制了一份信息安全评估报告。在这份报告中，于明亮不仅说清了当前中国航信存在的问题，还将解决方案和最终成果都全盘托出，这让中国航信内部对安全有了初步的认识。

即便如此，在推动安全项目的时候还是受到了一定阻力。这时，国内媒体开始针对民航短信诈骗展开了报道，央视的焦点访谈也针对此事展开讨论。一时间，中国民航业饱受抨击。另一方面，随着欧盟GDPR等法律法规的实施以及国内《网络安全法》的推出，国内的网安环境得到改善。于明亮看准时机，说服领导，开始逐步推动安全项目的实施。

首先是增加了IAM统一身份管理平台，规避了人为不当操作造成的安全后门和对旅客信息的恶意窃取；然后对敏感数据进行了筛查，进行了分类分级管理；分类分级之后，又对敏感数据进行了加解密、使用加密机保存秘钥；加密问题解决后，根据等保的要求，又上了双因素认证和实名认证，还有网站防篡改、数据库监控等。在测试环境中，于明亮发现生产数据没有得到有效保护，于是又进行了数据脱敏；随着与海关、公检法以及航空公司之间的数据交互，他又发现缺乏访问权限控制，于是又进行了相关修改。在这些工作完成的同时，于明亮又配合企业完成了PCI DSS以及等保2.0的认证。

回忆这段时间的经历，于明亮感觉充实且忙碌。这期间他发现，业务与安全需要相互配合，很多时候需要由业务驱动安全，否则即便提前发现了风险，也很难推动相应的项目。他举了一个例子，国内民航在国外推动业务时，发现国外要求相应软件有PCI DSS认证。因此，于明亮在推动国内PCI DSS认证时没有受到任何阻力。

能够在短短几年内推动这么多项目的实施和落地，于明亮认为一方面是来自于监管的推动，另一方面还是企业内部领导对安全工作的大力支持。他表示，安全不是买菜吃饭，不能单靠需求来制定方案。作为企业的成本中心，安全部门的每一个项目，无论是资金、时间以及对业务系统的改造都十分巨大。因此，安全项目的推动更需要掌握方法。

于明亮在中国航信每月例行会议及相关讲座中，不过多强调技术，而是讲解有关案例。这一方面是考虑到基层员工对安全技术很难理解，另一方面也是因为安全案例能够深入人心。他不断筛选国内外数据泄露的案例，说服大家提升安全意识，让大家理解安全对于每个人的影响。如此用了一年多的时间，中国航信内部的安全意识已经全面提高，这让他的安全工作事半功倍。

在短短几年时间里，中国航信的安全工作发生了翻天覆地的变化。可随之而来的疫情让整个民航业陷入了寒冬。2019年出境游旅客超过1.5亿人次，可2020年疫情的爆发，让这一数据迅速跌落。2020年出境游旅客降至2033.4万人次，同比减少86.9%。业务的缺失让民航业的资金迅速缩水，国东南三大航在2021年亏损超过400多亿，而他们即便是在2019年出国潮的背景下，净利润也仅仅100亿出头。

资金短缺让中国航信的安全工作受到了影响。于明亮表示，安全本身就难以量化，它不像其他部门投入必有回响。安全的这一特点让企业很难在资金方面继续大规模的投入，去年喜茶信息安全部门全面裁员，也反映出当前安全部门的窘境。另一方面，安全也确实限制了业务的发展。于明亮表示，他清楚安全的重要性，也知道安全对于业务的影响，但这一层一层的限制的确让用户的体验很差。可是不这么做，一旦发生数据泄露，企业业务将可能会迎来沉重打击。

东航MU5735空难让本就捉襟见肘的中国民航业再一次迎来沉重的打击。于明亮表示，空难的发生让民航内部更加艰难，但在总体而言，目前的民航飞行器是一天比一天安全。他认为，中国民航即将迎来利空出尽的转折点，到2024年以后，井喷式的出国潮将会再一次到来，到那时，民航定会再次发展，而安全部门也将迎来新的一轮机遇和挑战。

于明亮表示，当前中国航信所面对的最大任务就是数据安全。民航作为全球化的行业，不仅要满足国内的监管，还需要针对欧盟GDPR、美国的隐私保护法等等相关法律法规进行调整和细化，这些方面是需要深耕细琢的。

在整个职业生涯中，让于明亮记忆深刻的不是获得了荣誉或者取得了奖金，而是在无数个加班的夜晚，不断思考如何进一步推进项目、如何获得上级的支持和配合的过程。作为中国航信安全部门从0到1的见证者，于明亮表示很多工作也不是他一个人就能完成的。“集于我一人身上的荣誉抹杀了我身边同事、领导的贡献。”于明亮谦虚道。

这些年，在中国航信的努力下，民航诈骗案件越来越少，旅客乘机也越来越方便。航旅纵横等APP的落地让大家看到了中国民航的努力和进步。

目前，于明亮已经离开了自己最熟悉的安全岗位，开始了管理工作。突然的离岗让于明亮有些不知所措，多年来在安全领域的工作已经让他充满感情，他表示，即便是进入管理工作也还是会带领企业安全的大方向。作为中国航信信息安全技术工作的领头人，于明亮相信目前企业内部的安全制度以及技术标准都很完善，未来将会关注一些查漏补缺等方面的工作。

对于接下来的目标，于明亮表示要尽快落实隐私计算相关工作。目前有很多民航的分子公司或者合作伙伴需要民航方面的数据支持，那么隐私计算就是对这些数据最好的保护。不再用交换的方式提供数据，而是以更高级的手段，既保护了旅客信息安全，还能为这些数据需求方提供帮助。对此，于明亮认为，安全工作是没有尽头的。随着人们观点的不断转变，对于自身隐私保护的意识与日俱增，安全从业者将会面临越来越高的要求和越来越细致的工作，这也是个很大的挑战。

民航发展不会永远停滞，安全也不会止步于此。于明亮说，沉浸在过去获得的成绩和荣誉没有任何意义，他会一如既往的在新的领域，为广大旅客提供更加安全放心的环境。于明亮对中国民航业的信息安全的贡献有目共睹，也希望他能在新的舞台继续大放异彩。