宝聘网开展网络和数据安全保障工作

为做好网络和数据安全保障工作，宝聘网指定专人负责，加强网站监测，防范出现网络安全意识形态事件或个人敏感信息泄漏事件。宝聘网同时对技术管理团队提出了具体工作要求。

一、全面梳理风险暴露面

全面梳理本单位互联网暴露面情况（包括网站、互联网应用信息系统、网络服务平台、电子屏、重要设施的视频监控设备等），审核相关系统接入互联网的必要性和安全性，全面消除“无管理、无使用、无防护”的互联网暴露面资产，确保内部业务不在互联网上暴露。根据资产排查结果，核实资产使用情况，及时关停无需使用的域名、端口、服务器、应用系统。对确有必要在互联网暴露的资产采取安全防护措施。

二、加强账号及口令管理

加强账号及权限管理。及时清理与设备、业务、数据库、Web中间件等运行和维护相关的无用账号（测试账号、离职员工账号、过期账号和沉默账号等）；严格管控开发运维人员账号权限，排查弱口令并更新系统账号密码。检查主机、网络设备、安全设备及数据库等设备及应用系统口令策略，确保口令策略符合强密码要求。在应用系统中通过技术手段加强口令管理，健全系统认证鉴权机制。通过系统设置口令复杂度校验、强制定期修改口令，重要系统启用双因子登录认证。

三、开展网络数据安全及供应链安全自查

定期排查网络安全防护设备、服务器和应用系统的风险隐患，封堵安全漏洞。定期备份数据，保证极端情况下核心功能快速恢复运行能力。

四、加强终端、外设、邮箱、通讯软件安全管理

按照“主要领导负管理责任，使用者负直接责任”的原则，加强人员网络安全防范意识，杜绝出现被钓鱼事件。一是加强终端安全管理。禁止在终端上安装与工作无关的软件；不随意开放远程桌面及使用远程控制软件；定期使用防病毒软件进行病毒查杀；定期升级终端系统补丁、修复漏洞；不得使用来历不明的移动存储介质；离开办公终端时及时锁屏；下班后关闭办公终端。二是加强密码口令安全。不设置弱口令、空口令，定期更换口令，不将口令写在便签上，不将账号及口令明文保存在办公终端。三是规范使用邮箱。不点击来历不明的邮件、邮件附件及链接，查看电子邮件时留意发件人是否伪造。