4.45M
Category: internetinternet

Презентация_Галько_безопасность_серверов_рабочих_станций

1.

ДИПЛОМНАЯ РАБОТА
Обеспечение безопасности серверов и
рабочих станций с помощью
централизованного управления
политиками безопасности
AD
GPO
VLAN
Zabbix
Галько Александр Евгеньевич
НАН ЧОУ ВО Академия ИМСИТ
2026

2.

Актуальность и цель проекта
ПРОБЛЕМА
Спроектировать систему
централизованного управления
безопасностью серверов и
рабочих станций для повышения
защищенности информационной
инфраструктуры Академии
ИМСИТ.
ЦЕЛЬ
— рост числа пользователей, рабочих станций
и сетевых сервисов
— повышение риска сетевых атак,
вредоносного ПО и сбоев
— необходимость единых политик
безопасности для всей инфраструктуры
1
2
Контроль
Актуальность и цель
3
Политики
4
Мониторинг
Реакция
02

3.

Что исследуется и что решается
ОБЪЕКТ
ПРЕДМЕТ
Информационная инфраструктура
НАН ЧОУ ВО Академия ИМСИТ
Система централизованного
управления безопасностью
серверов и рабочих станций
КЛЮЧЕВЫЕ ЗАДАЧИ
— проанализировать угрозы и требования к системе
— разработать логическую и физическую структуру сети
— реализовать настройку серверов, VLAN, мониторинга и аудита
— учесть требования охраны труда и эксплуатации оборудования
Объект, предмет и задачи
03

4.

Основные риски существующей инфраструктуры
Разрозненное управление
Недостаточный мониторинг
разные настройки ОС и ПО, сложность обновлений
позднее обнаружение отказов и атак
Слабая сегментация
Отсутствие единого аудита
единый широковещательный домен и риск
распространения угроз
сложно восстановить хронологию инцидента
Вывод: требуется централизованное администрирование, логическая изоляция сегментов и постоянный
контроль событий безопасности.
Анализ существующей сети
04

5.

Требования к проектируемой системе
ФУНКЦИОНАЛЬНОСТЬ
— централизованное управление политиками
безопасности
— мониторинг состояния серверов, рабочих станций
и оборудования
— автоматическое обновление средств защиты
— обнаружение и реагирование на угрозы
— ведение журналов событий
ЭКСПЛУАТАЦИОННЫЕ ОРИЕНТИРЫ
24/7
3–5 с
≤10 мин
круглосуточная
работа
реакция на
критичный инцидент
применение GPO в
проводной сети
Архитектура строится по
трехуровневой модели: конечные точки
→ управление и оркестрация →
хранение и анализ.
Техническое задание
05

6.

Технологический стек защиты
Windows Server
Active Directory
Zabbix
серверная платформа, AD DS, DNS, GPO
единая аутентификация и учетные записи
мониторинг серверов, станций и сетевого
оборудования
VLAN / ACL
Cisco / MikroTik
Журналирование
сегментация и фильтрация
межсегментного трафика
коммутация, маршрутизация, периметр
сети
аудит событий и расследование
инцидентов
Принцип выбора: многоэшелонированная защита и совместимость с существующей инфраструктурой
академии.
Выбор технологий
06

7.

Структура централизованной системы безопасности
Рисунок из дипломной работы
ЛОГИКА РЕШЕНИЯ
— интернет-трафик проходит через
межсетевой экран
— управляемый коммутатор разделяет
VLAN-сегменты
— AD, Zabbix, журналирование и
антивирусная защита вынесены в
серверный контур
— администратор управляет
политиками из единой точки
Архитектура
07

8.

Логическая сегментация с использованием VLAN
Разделение доступа по категориям пользователей
VLAN 10 — Администрация
192.168.10.0/24
VLAN 20 — Преподаватели
192.168.20.0/24
VLAN 30 — Учебные аудитории
VLAN 40 — Серверы
VLAN 50 — Wi-Fi
192.168.30.0/24
192.168.40.0/24
192.168.50.0/24
Фильтрация межсегментного трафика
выполняется на L3-уровне по принципу
«запрещено всё, что не разрешено явно».
Сегментация сети
08

9.

Физическое размещение и топология сети
Физическая структура предусматривает серверный контур, рабочие места и сетевые узлы,
объединенные в управляемую инфраструктуру с резервированием и контролем доступа.
Физическая модель и топология
09

10.

Серверная часть: Windows Server и Active Directory
Реализованы: установка роли AD DS, создание домена, организационных подразделений, групп
пользователей и базовых политик безопасности.
Практическая реализация
10

11.

Коммутатор: создание VLAN и trunk/access портов
РЕЗУЛЬТАТ НАСТРОЙКИ
— созданы VLAN для категорий
пользователей и серверов
— порты рабочих станций
переведены в режим access
— межсетевые соединения
настроены в режиме trunk
— доступ к внутренним ресурсам
ограничен политиками фильтрации
Настройка сетевого оборудования
11

12.

Централизованный мониторинг и журналирование
КОНТРОЛИРУЮТСЯ
— доступность серверов, станций и
сетевого оборудования
— загрузка CPU, RAM, дисков и
интерфейсов
— попытки входа, изменения
конфигураций и ошибки доступа
— триггеры и уведомления для
администратора
Цель: выявить инцидент раньше, чем
он нарушит работу образовательной
среды.
Мониторинг и аудит
12

13.

Итоговый эффект внедрения
Защищенность
Управляемость
снижение риска несанкционированного доступа и
распространения угроз
единые политики безопасности и учетные записи
через Active Directory
Наблюдаемость
Масштабируемость
мониторинг состояния устройств и аудит событий
безопасности
возможность расширения сети без перестройки
архитектуры
Разработанная система повышает надежность и безопасность информационной инфраструктуры
Академии ИМСИТ и создает основу для дальнейшей модернизации.
Выводы
13
English     Русский Rules