Similar presentations:
Презентация_Галько_безопасность_серверов_рабочих_станций
1.
ДИПЛОМНАЯ РАБОТАОбеспечение безопасности серверов и
рабочих станций с помощью
централизованного управления
политиками безопасности
AD
GPO
VLAN
Zabbix
Галько Александр Евгеньевич
НАН ЧОУ ВО Академия ИМСИТ
2026
2.
Актуальность и цель проектаПРОБЛЕМА
Спроектировать систему
централизованного управления
безопасностью серверов и
рабочих станций для повышения
защищенности информационной
инфраструктуры Академии
ИМСИТ.
ЦЕЛЬ
— рост числа пользователей, рабочих станций
и сетевых сервисов
— повышение риска сетевых атак,
вредоносного ПО и сбоев
— необходимость единых политик
безопасности для всей инфраструктуры
1
2
Контроль
Актуальность и цель
3
Политики
4
Мониторинг
Реакция
02
3.
Что исследуется и что решаетсяОБЪЕКТ
ПРЕДМЕТ
Информационная инфраструктура
НАН ЧОУ ВО Академия ИМСИТ
Система централизованного
управления безопасностью
серверов и рабочих станций
КЛЮЧЕВЫЕ ЗАДАЧИ
— проанализировать угрозы и требования к системе
— разработать логическую и физическую структуру сети
— реализовать настройку серверов, VLAN, мониторинга и аудита
— учесть требования охраны труда и эксплуатации оборудования
Объект, предмет и задачи
03
4.
Основные риски существующей инфраструктурыРазрозненное управление
Недостаточный мониторинг
разные настройки ОС и ПО, сложность обновлений
позднее обнаружение отказов и атак
Слабая сегментация
Отсутствие единого аудита
единый широковещательный домен и риск
распространения угроз
сложно восстановить хронологию инцидента
Вывод: требуется централизованное администрирование, логическая изоляция сегментов и постоянный
контроль событий безопасности.
Анализ существующей сети
04
5.
Требования к проектируемой системеФУНКЦИОНАЛЬНОСТЬ
— централизованное управление политиками
безопасности
— мониторинг состояния серверов, рабочих станций
и оборудования
— автоматическое обновление средств защиты
— обнаружение и реагирование на угрозы
— ведение журналов событий
ЭКСПЛУАТАЦИОННЫЕ ОРИЕНТИРЫ
24/7
3–5 с
≤10 мин
круглосуточная
работа
реакция на
критичный инцидент
применение GPO в
проводной сети
Архитектура строится по
трехуровневой модели: конечные точки
→ управление и оркестрация →
хранение и анализ.
Техническое задание
05
6.
Технологический стек защитыWindows Server
Active Directory
Zabbix
серверная платформа, AD DS, DNS, GPO
единая аутентификация и учетные записи
мониторинг серверов, станций и сетевого
оборудования
VLAN / ACL
Cisco / MikroTik
Журналирование
сегментация и фильтрация
межсегментного трафика
коммутация, маршрутизация, периметр
сети
аудит событий и расследование
инцидентов
Принцип выбора: многоэшелонированная защита и совместимость с существующей инфраструктурой
академии.
Выбор технологий
06
7.
Структура централизованной системы безопасностиРисунок из дипломной работы
ЛОГИКА РЕШЕНИЯ
— интернет-трафик проходит через
межсетевой экран
— управляемый коммутатор разделяет
VLAN-сегменты
— AD, Zabbix, журналирование и
антивирусная защита вынесены в
серверный контур
— администратор управляет
политиками из единой точки
Архитектура
07
8.
Логическая сегментация с использованием VLANРазделение доступа по категориям пользователей
VLAN 10 — Администрация
192.168.10.0/24
VLAN 20 — Преподаватели
192.168.20.0/24
VLAN 30 — Учебные аудитории
VLAN 40 — Серверы
VLAN 50 — Wi-Fi
192.168.30.0/24
192.168.40.0/24
192.168.50.0/24
Фильтрация межсегментного трафика
выполняется на L3-уровне по принципу
«запрещено всё, что не разрешено явно».
Сегментация сети
08
9.
Физическое размещение и топология сетиФизическая структура предусматривает серверный контур, рабочие места и сетевые узлы,
объединенные в управляемую инфраструктуру с резервированием и контролем доступа.
Физическая модель и топология
09
10.
Серверная часть: Windows Server и Active DirectoryРеализованы: установка роли AD DS, создание домена, организационных подразделений, групп
пользователей и базовых политик безопасности.
Практическая реализация
10
11.
Коммутатор: создание VLAN и trunk/access портовРЕЗУЛЬТАТ НАСТРОЙКИ
— созданы VLAN для категорий
пользователей и серверов
— порты рабочих станций
переведены в режим access
— межсетевые соединения
настроены в режиме trunk
— доступ к внутренним ресурсам
ограничен политиками фильтрации
Настройка сетевого оборудования
11
12.
Централизованный мониторинг и журналированиеКОНТРОЛИРУЮТСЯ
— доступность серверов, станций и
сетевого оборудования
— загрузка CPU, RAM, дисков и
интерфейсов
— попытки входа, изменения
конфигураций и ошибки доступа
— триггеры и уведомления для
администратора
Цель: выявить инцидент раньше, чем
он нарушит работу образовательной
среды.
Мониторинг и аудит
12
13.
Итоговый эффект внедренияЗащищенность
Управляемость
снижение риска несанкционированного доступа и
распространения угроз
единые политики безопасности и учетные записи
через Active Directory
Наблюдаемость
Масштабируемость
мониторинг состояния устройств и аудит событий
безопасности
возможность расширения сети без перестройки
архитектуры
Разработанная система повышает надежность и безопасность информационной инфраструктуры
Академии ИМСИТ и создает основу для дальнейшей модернизации.
Выводы
13
internet