Внедрение тонкого и толстого клиента на российских операционных системах
ЦЕЛЕПОЛАГАНИЕ
ХАРАКТЕРИСТИКА ПРЕДПРИЯТИЯ
ТОЛСТЫЙ КЛИЕНТ: ОСОБЕННОСТИ И РАЗЛИЧИЯ С ТОНКИМ КЛИЕНТОМ
ВЫБОР И ОБОСНОВАНИЕ ВЫБОРА МОДЕЛИ КЛИЕНТА: ОБЗОР ОБОРУДОВАНИЯ
ПРОГРАММА 1С
ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ
765.54K
Similar presentations:

Perevozchikov_Presentation

1. Внедрение тонкого и толстого клиента на российских операционных системах

Внедрение системы контроля
доступа в корпоративную сеть
Выполнил: Перевозчиков М.Ф.
Руководитель: Лагуткин А.Н.

2. ЦЕЛЕПОЛАГАНИЕ

ЦЕЛИ И ЗАДАЧИ ИССЛЕДОВАНИЯ
Цель:
Объект:
Предмет:
Разработать архитектуру и экономически обосновать внедрение
комплексной СКУД для МБУ ЦБС г. Губкинского, обеспечивающей
соответствие законодательным требованиям и нейтрализующей
выявленные риски информационной безопасности.
МБУ «Централизованная библиотечная система города
Губкинского» (МБУ ЦБС г. Губкинского) — процесс обеспечения
информационной безопасности
Проектирование и обоснование внедрения современной СКУД в
информационную инфраструктуру библиотеки на базе
FreeRADIUS, PrivacyIDEA и ELK-стека

3.

ЗАДАЧИ
Анализ информационной инфраструктуры и политик безопасности МБУ ЦБС г.
Губкинского
Выявление и моделирование ключевых угроз и уязвимостей в управлении доступом
Проектирование архитектуры СКУД: ролевая модель RBAC, сегментация сети 802.1X, MFA
Разработка плана реализации и тестирования системы в тестовой среде Proxmox VE
Экономическое обоснование: смета затрат, расчёт эффективности и срока окупаемости

4. ХАРАКТЕРИСТИКА ПРЕДПРИЯТИЯ

ВЫЯВЛЕННЫЕ ПРОБЛЕМЫ ИНФОРМАЦИОННОЙ
Общие учётные записи: около 300 пользователей используют одни логины
и пароли, не сменяемые годами
БЕЗОПАСНОСТИ
Плоская сеть: все устройства в едином широковещательном домене,
гостевой трафик не изолирован
Слабая парольная политика: 73% сотрудников используют одинаковый
пароль для работы и личных сервисов
Отсутствие аудита: журналы событий перезаписываются через несколько
дней, нет централизованного мониторинга
Несоответствие 152-ФЗ: действующая система не обеспечивает требуемый
уровень защиты персональных данных читателей
Ключевые проблемы безопасност

5.

МАТРИЦА РИСКОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
КРАСНАЯ ЗОНА (приоритет
1): компрометация учётных
данных, внедрение
вредоносного ПО,
несанкционированные
подключения, утечка
персональных данных) - это
компьютер или программное
обеспечение, в которых
обработка действий
пользователя происходит на
удаленном сервере.
ЖЁЛТАЯ ЗОНА
(приоритет 2)
Перехват сетевого
трафика
ЗЕЛЁНАЯ ЗОНА
(мониторинг)
Кража мобильных
устройств с
персональными данными
Единичные отказы в
обслуживании
Маловероятные события с
незначительными
последствиями
Слабые пароли →
компрометация
учётных записей
Плоская архитектура →
распространение
вредоносного ПО

6. ТОЛСТЫЙ КЛИЕНТ: ОСОБЕННОСТИ И РАЗЛИЧИЯ С ТОНКИМ КЛИЕНТОМ

НОРМАТИВНО-ПРАВОВАЯ БАЗА
152-ФЗ «О
персональных
данных» (2006)
Обязателен сбор
согласия,
конфиденциальность
ПДн, технические меры
защиты. Штрафы до
300 тыс. руб.
ПП-1119 — Требования
к защите ПДн (2012)
Приказ ФСТЭК №21
— меры по
безопасности ПДн
ИАФ.1
(аутентификация),
УПД.1 (доступ), РСБ.1
(аудит событий),
ЗИС.1 (сети)
ГОСТ Р ИСО/МЭК
27001-2021 — СУИБ
Методологическая
основа. Управление
доступом (А.9),
безопасность
Устанавливает уровни
защищённости
ИСПДн. МБУ ЦБС —
2-й или 3-й уровень
Толстый клиент (fat client) - это
тип клиента, который обладает
собственными вычислительными
мощностями, носителями
информации и графическими
ресурсами.

7. ВЫБОР И ОБОСНОВАНИЕ ВЫБОРА МОДЕЛИ КЛИЕНТА: ОБЗОР ОБОРУДОВАНИЯ

АРХИТЕКТУРА РАЗРАБОТАННОЙ СКУД
Сервер Mainstream
SuperServer Active
Directory (Samba AD)
— каталог, RBAC
Wi-Fi роутер MikroTik
RB2011UiAS-2HnD-IN
Коммутатор DLink DGS-121028P/FL1A

8.

ВЫБОР ТЕХНИЧЕСКОГО РЕШЕНИЯ
Внутри кабинета находится VMDC01 (Samba AD), VM-FS01
(файловый сервер),
коммутатор и
маршрутизаторVM-FS01:
Файловый сервер —
тестирование RBAC, сетевые
папки VM-FR01: Сервер
аутентификации — FreeRADIUS
+ PrivacyIDEA (MFA)VM-SIEM01:
SIEM/мониторинг — Elasticsearch,
Logstash, Kibana

9.

РЕАЛИЗАЦИЯ В ТЕСТОВОЙ СРЕДЕ (PROXMOX VE)
Аутентификация 802.1X:Сотрудник →
корпоративная VLAN; гость → гостевая
VLAN
Многофакторная аутентификация:RDP
без TOTP-кода — отказ; с кодом — доступ
предоставленMacOS.
Подключение чужого устройства:Неизвестное устройство →
гостевая VLAN + уведомление администратору
Атака Brute Force:После неудачных попыток —
автоблокировка учётной записи AD

10. ПРОГРАММА 1С

РЕЗУЛЬТАТЫ ТЕСТИРОВАНИЯ СИСТЕМЫ
Программа 1С Отказоустойчивость: переключение на резервный RADIUS
за ~20 сек без прерывания сессий. Captive Portal: временный код →
интернет без доступа к локальным ресурсам. Производительность: ~60 мс
при 100 запросах, ~200 мс при 200 запросах. Хранение журналов: 90+
дней.

11.

ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ ПРОЕКТА
Фонд оплаты труда
(разработчик, 12 мес.)
— 2 028 000 руб.
Шаг 2: На официальном
сайте 1cfresh.com,
необходимо скачать
образ под
соответствующую версию.
Шаг 3: Далее в терминале требуется
ввести 2 команды, которые применяют и
запускают скаченный файл. В командах
необходимо указать путь и полную
версию тонкого клиента под систему, на
которую он устанавливается.
Экономия в день: 1 502 руб. Годовая
экономия: 480 640 руб. Годовой эффект
(Эн=0,15): 103 690 руб. Срок
окупаемости: ~5 лет
Шаг 4, 5: После введения и полной загрузки,
необходимо выбрать язык установки.
В конце установки, потребуется проверить,
как работает тонкий клиент, например,
открыв окно рабочей базы «1С:Предприятие».

12. ЭКОНОМИЧЕСКОЕ ОБОСНОВАНИЕ

13.

ОХРАНА ТРУДА И ТЕХНИКА БЕЗОПАСНОСТИ
Защитное заземление
оборудования (сопротивление
≤4 Ом), УЗО с током
срабатывания ≤30 мА
Углекислотные огнетушители ОУ-2, ОУ5; инструктаж 1 раз в полугодие (ГОСТ
12.0.004)
Площадь рабочего места ≥4,5 м²,
освещённость 300–500 лк, температура 22–
25°C, расстояние до монитора 600–700 мм

14.

ЗАКЛЮЧЕНИЕ
English     Русский Rules