Аудит ИТ-инфраструктуры
ГК "Развитие" (направление застройки и строительства)
Дата аудита: Февраль 2026
Аудитор: [Николай Волошин, Виталий Васькович]
Объект: ИТ-инфраструктура головного офиса и региональных подразделений
1. Резюме для руководства
Общая оценка: ⚠️ Требует системной оптимизации
ИТ-инфраструктура компании находится на этапе активного развития с правильным вектором модернизации. Ключевой специалист демонстрирует адекватное понимание современных требований к ИТ, однако существуют объективные ограничения:
- Ограниченная экспертиза в корпоративных решениях Microsoft
- Отсутствие масштабируемых процессов Service Desk
- Фрагментированная система безопасности без централизованного контроля
- Отсутствие ИТ стратегии как общего плана движения
Критический риск: Отсутствие enterprise-grade системы резервного копирования и мониторинга бэкапов 1С со стороны службы безопасности.
2. Анализ организационной структуры ИТ
2.1. Модель предоставления услуг
| Параметр | Текущее состояние | Оценка | Рекомендация |
|---|---|---|---|
| Стратегическое планирование | Отсутствует, ориентация на оперативные задачи | 🔴 Критично | Разработать 12-месячный план развития ИТ |
| Прием заявок | Bitrix24 (внедряется), телефон (вне рабочего времени) | 🟡 Частично | Полноценный Service Desk с телефонией |
| Время реагирования | Фиксируется вручную в канбане, SLA отсутствует | 🔴 Критично | Внедрить автоматизированный SLA |
| Часы работы | 09:00-18:00, регионы не покрыты | 🔴 Критично | Расширить до 08:00-20:00 или outsource L1 |
| База знаний | Отсутствует | 🔴 Критично | Создать wiki/Confluence |
2.2. Процесс подключения новых объектов (административные здания, офисы, отделы продаж)
Текущий процесс:
Дирекция/Фирсов → Задание в Bitrix → Проектирование/по факту
→ Подрядчик (поиск без участия ИТ) → Стандартный набор оборудования
Выявленные пробелы:
- ИТ не участвует в подборе подрядчиков на этапе проектирования
- Отсутствие чек-листов готовности объекта к сдаче в эксплуатацию
- Нет единого стандарта сетевой инфраструктуры для строек
- Нет системы планирования подготовки ИТ инфраструктуры
3. Анализ инфраструктуры
3.1. Виртуализация и серверное оборудование
Способ организации серверного пространства:
На основании реестра серверов и визуального анализа выявлена следующая конфигурация:
Физические хосты:
- pve1: ASUS RS720-E10-RS12, 2×Xeon Gold 6334, 503 ГБ RAM, 14 дисков (SSD + HDD)
- pve2: ASUS Z12PP-D32, 2×Xeon Gold 6334, 503 ГБ RAM, 14 дисков
- pve-dummy: Gigabyte B760M, i5-12400, 15 ГБ RAM (некорректная конфигурация)
Виртуальные машины: 42 единицы (Windows, Linux, LXC-контейнеры)
Критические замечания:
| Проблема | Риск | Рекомендация |
|---|---|---|
| pve-dummy: 15 ГБ RAM на 6-ядерном i5 | Нестабильность | Исключить из продуктивного кластера |
| Разнородное оборудование в кластере | Сложность миграций | Стандартизировать хосты |
| Отсутствие shared storage | Ограниченная отказоустойчивость | Рассмотреть Ceph/TrueNAS Cluster |
| Отсутствие ZIP архива | Потеря времени восстановления | Организовать емкость запасных частей |
| Организация серверного оборудования | Доступность физическая, потеря данных, простой | Формирование дата центра или простыми словами серверной комнаты |
3.2. Рекомендация: Миграция на Microsoft Hyper-V
Обоснование перехода с Proxmox VE на Hyper-V для Windows-инфраструктуры:
| Критерий | Proxmox VE | Microsoft Hyper-V | Преимущество Hyper-V |
|---|---|---|---|
| Лицензирование Windows | Требует отдельных лицензий на каждую ВМ | Встроено в Windows Server Datacenter (неограниченное число ВМ) | Экономия 30-40% на лицензировании |
| Интеграция с AD | Через LDAP/ручная настройка | Нативная интеграция, Group Policy | Упрощение управления |
| Поддержка Microsoft | Community/форумы | Официальная поддержка Microsoft | Критично для бизнеса |
| Резервное копирование | Proxmox Backup Server | Veeam Backup & Replication (нативная интеграция) | Enterprise-уровень защиты |
| Управление обновлениями | Ручное/скрипты | Windows Update, WSUS, SCCM | Автоматизация compliance |
| Live Migration | Есть (с ограничениями) | Нативная, без общего хранилища | Гибкость обслуживания |
| Shielded VMs | Нет | Есть (шифрование ВМ) | Защита от инсайдеров |
| Совместимость 1С | Требует тонкой настройки | Сертифицированная конфигурация | Стабильность бизнес-приложений |
Из опроса ИТ специалиста получены данные стандартной загрузки основной VM 1C БСО SQL. Наблюдается нехватка ресурсов.
Рекомендуемая архитектура:
┌─────────────────────────────────────────┐
│ Windows Server Datacenter │
│ ┌─────────────┐ ┌─────────────┐ │
│ │ Hyper-V │◄──►│ Hyper-V │ │
│ │ Host 1 │ │ Host 2 │ │
│ └──────┬──────┘ └──────┬──────┘ │
│ │ SOFS/S2D │ │
│ └────────┬─────────┘ │
│ ▼ │
│ ┌─────────────┐ │
│ │ CSV/SAN │ │
│ │ Storage │ │
│ └─────────────┘ │
└─────────────────────────────────────────┘
│
┌─────────┴─────────┐
▼ ▼
┌─────────────┐ ┌─────────────┐
│ Veeam B&R │ │ System │
│ Server │ │ Center VM │
└─────────────┘ └─────────────┘
4. Система резервного копирования
4.1. Текущее состояние (критично)
┌─────────────────────────────────────────────────────────┐
│ Proxmox VE Cluster │
│ ├─ Proxmox Backup Server (VM на pve1) │
│ │ └─ Локальный диск (1 диск, без RAID!) │
│ │ └─ Ежедневные бэкапы ВМ (>7 дней хранения) │
│ │ │
│ └─ Репликация на pve2 (не подтверждена) │
│ │
│ 1С: Собственные бэкапы (не контролируются ИТ) │
│ Рабочие станции: FOG Project (образы, не данные) │
└─────────────────────────────────────────────────────────┘
Критические риски:
- 🚨 Single point of failure: PBS на одном диске без RAID
- 🚨 Отсутствие offsite-копий: Все бэкапы в одном ЦОД
- 🚨 Нет мониторинга со стороны СБ: Проверка бэкапов 1С не выполняется
- 🚨 Нет тестового восстановления: Политика есть, практика отсутствует
4.2. Рекомендуемое решение: Veeam Backup & Replication
Архитектура 3-2-1-1-0:
┌─────────────────────────────────────────────────────────────┐
│ PRODUCTION │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │ VM 1C │ │ VM SQL │ │ VM │ │ VM │ │
│ │ BSO │ │ Server │ │ File │ │ Web │ │
│ └────┬────┘ └────┬────┘ └────┬────┘ └────┬────┘ │
│ └─────────────┴─────────────┴─────────────┘ │
│ │ │
│ ▼ │
│ ┌─────────────────┐ │
│ │ Veeam Proxy │ (на каждом хосте) │
│ │ (Hot-Add mode) │ │
│ └────────┬────────┘ │
└───────────────────────┼─────────────────────────────────────┘
│
▼
┌─────────────────────────────────────────────────────────────┐
│ VEEAM BACKUP & REPLICATION SERVER │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ 1. Бэкап на локальный репозиторий (RAID 10) │ │
│ │ └─ 14 точек восстановления (GFS: день/нед/мес) │ │
│ │ │ │
│ │ 2. Копия на удаленный сайт (pve2) │ │
│ │ └─ Immutable backups (защита от ransomware) │ │
│ │ │ │
│ │ 3. Копия в облако (Yandex Cloud/AWS) │ │
│ │ └─ Archive tier для долгосрочного хранения │ │
│ │ │ │
│ │ 4. Application-aware processing для 1C и SQL │ │
│ │ └─ Консистентные бэкапы с VSS │ │
│ └─────────────────────────────────────────────────────┘ │
│ │
│ ┌─────────────────────────────────────────────────────┐ │
│ │ SureBackup: Автоматическая проверка восстановления │ │
│ │ (запуск ВМ в изолированной среде, тест 1С/SQL) │ │
│ └─────────────────────────────────────────────────────┘ │
└─────────────────────────────────────────────────────────────┘
Преимущества Veeam для данной инфраструктуры:
| Функция | Преимущество для "Развития" |
|---|---|
| Instant VM Recovery | Запуск ВМ напрямую из бэкапа за 2 минуты (критично для 1С) |
| File-Level Recovery | Восстановление отдельных файлов без запуска всей ВМ |
| Application Items Recovery | Восстановление отдельных баз 1С/SQL без полного восстановления |
| Replication | Создание реплик ВМ на pve2 для Disaster Recovery |
| CDP (Continuous Data Protection) | RPO 15 секунд для критичных систем (опция) |
| Veeam ONE | Мониторинг и отчетность для СБ и руководства |
Ожидаемые показатели:
- RTO (время восстановления): 15 минут (вместо часов)
- RPO (точка восстановления): 1 час (вместо суток)
- Проверка бэкапов: Автоматическая, ежедневная
5. Использование рабочих станций как NAS (критично)
5.1. Выявленная практика
Сценарий: Рабочие ПК используются как сетевые хранилища для отделов
- Отсутствие централизованного контроля доступа (он есть, доменный, но нет централизации)
- Нет резервного копирования данных с этих ПК на другие расположения
- Риск утечки данных при компрометации ПК
5.2. Риски
| Риск | Вероятность | Влияние | Описание |
|---|---|---|---|
| Потеря данных | Высокая | Критическое | Отказ диска ПК без бэкапа |
| Утечка данных | Средняя | Высокое | Неконтролируемый доступ |
| Ransomware | Средняя | Критическое | Шифрование общих папок |
| Недоступность | Высокая | Среднее | Отключение/сбой ПК владельца |
5.3. Рекомендации по замене
Вариант 1: Централизованное хранилище (рекомендуется)
┌─────────────────────────────────────────┐
│ TrueNAS Scale / Synology RS │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │Отдел 1 │ │Отдел 2 │ │Отдел N │ │
│ │ Share │ │ Share │ │ Share │ │
│ │(ACLs) │ │(ACLs) │ │(ACLs) │ │
│ └────┬────┘ └────┬────┘ └────┬────┘ │
│ └─────────────┴─────────────┘ │
│ RAID-Z2 / SHR-2 │
│ ┌─────────┐ ┌─────────┐ │
│ │ SSD │ │ HDD │ │
│ │ L2ARC │ │ Pool │ │
│ └─────────┘ └─────────┘ │
└─────────────────────────────────────────┘
│
▼
┌─────────────────┐
│ Veeam Agent │
│ for NAS/Data │
└─────────────────┘
6. Информационная безопасность
6.1. Управление доступом
Текущая модель VPN (3 уровня):
Уровень 1: 1С Web UI only
Уровень 2: 1С + DMZ (файловый доступ)
Уровень 3: RDP + полный доступ к подсети клиента
Выявленные проблемы:
| Проблема | Уровень риска | Рекомендация |
|---|---|---|
| Ручное согласование доступов СБ | Средний | Автоматизация через IAM |
| Нет скриптов блокировки при увольнении | Критический | Интеграция HR-Bitrix-AD |
| Отсутствие инвентаризации активных аккаунтов | Критический | Ежемесячный аудит + автоматика |
| Компьютеры не отсортированы в AD | Средний | Структура OU по отделам/филиалам |
| Блокировка экрана 1 час | Средний | Сократить до 15 минут |
| Пароли без срока действия | Критический | Политика 90 дней + MFA |
6.2. Рекомендуемая политика доступа
┌─────────────────────────────────────────┐
│ Identity Management │
│ (Azure AD / on-prem AD) │
└─────────────────┬───────────────────────┘
│
┌─────────────┼─────────────┐
▼ ▼ ▼
┌────────┐ ┌────────┐ ┌────────┐
│ MFA │ │Conditional│ │ PIM │
│(обязат.)│ │ Access │ │(привил.)│
└────┬───┘ └────┬───┘ └────┬───┘
└─────────────┴─────────────┘
│
┌─────────┴─────────┐
▼ ▼
┌─────────────┐ ┌─────────────┐
│ VPN │ │ Internal │
│ (WireGuard)│ │ Network │
│ │ │ │
│ ┌─────────┐ │ │ ┌─────────┐ │
│ │Split │ │ │ │Zero Trust│ │
│ │Tunneling│ │ │ │ NAC │ │
│ └─────────┘ │ │ └─────────┘ │
└─────────────┘ └─────────────┘
7. Сетевая инфраструктура
7.1. Адресное пространство (анализ СетьПланIP.xlsx)
Структура сети:
- 172.27.0.0/18 — Головной офис (45-й Стрелковой Дивизии, 110)
- 172.27.64.0/19 — Региональные объекты (стройки)
- 172.27.232.0/21 — Служебные сети (VPN, управление)
- 172.27.240.0/20 — VPN-пользователи
Замечания:
- ✅ Правильное разделение на VLAN по функциям
- ✅ Выделены отдельные сети для IPMI, видеонаблюдения, WiFi
- ⚠️ 172.27.47.0/24 размещен в DMZ (172.27.48.0/20), но адрес вне диапазона
- ⚠️ Отсутствует сегментация критичных систем (1С, SQL) от пользовательских сетей
- ⚠️ В процессе работы подключил сетевой кабель в личный ноутбук и получил доступ к Интернет и инфраструктуре
7.2. WiFi-инфраструктура
Текущее решение: MikroTik CAPsMAN (виртуальная машина)
- 2 VLAN: Office (аутентификация) + Guest (без аутентификации, ограничение скорости)
Рекомендации:
- Внедрить 802.1X (RADIUS) для корпоративного WiFi
- Рассмотреть замену на UniFi / Aruba для централизованного управления
- Guest WiFi с captive portal и SMS-аутентификацией
- В процессе аудита столкнулись с отвратительной работой WIFI гостевой (произвольное отключение)
8. Коммуникационные сервисы
8.1. Электронная почта
Текущее состояние: Mail.ru для бизнеса (облако)
| Проблема | Влияние | Решение |
|---|---|---|
| Блокировка при массовых рассылках | Высокое | Выделенный SMTP-релей с репутацией |
| Недоставка писем (1С vs Mail.ru) | Среднее | Логирование и трассировка |
| Отсутствие архивации | Критическое | Mail Archiving или on-prem сервер |
Рекомендация:
- Краткосрочно: Настроить SPF/DKIM/DMARC, выделенный IP для рассылок
- Долгосрочно: Microsoft Exchange Online (часть Microsoft 365) или on-prem Exchange с гибридной конфигурацией
-
hMailServer + Roundcube Webmail:
hMailServer — бесплатный почтовый сервер для Windows (SMTP, IMAP, POP3), существует с 2002 года, активно используется в малом и среднем бизнесе. Управляется через GUI-приложение или COM API.
Roundcube Webmail — open-source веб-клиент на PHP, подключается к любому IMAP-серверу. Один из наиболее распространённых веб-интерфейсов для корпоративной почты.
8.2. Телефония
Текущее состояние: Облачные SIP (Телфин, Ростелеком), нет локального сервера
Риски:
- Зависимость от внешних провайдеров
- Отсутствие записи разговоров для контроля качества (локально в облаке есть)
- Ручная конфигурация VLAN на коммутаторах
Рекомендация:
- 3CX / Asterisk на собственном сервере для контроля и записи
- Auto-provisioning телефонов через DHCP option 66
- izPBX SelfHost решение
9. Приоритетный план мероприятий
Квартал 1 (немедленно)
| Приоритет | Мероприятие | Ответственный | Бюджет | Риск без реализации |
|---|---|---|---|---|
| 🔴 P0 | Внедрить автоматическую блокировку учетных записей при увольнении | ИТ + СБ + HR | Низкий | Утечка данных, несанкционированный доступ |
| 🔴 P0 | Организовать RAID-массив для Proxmox Backup Server | ИТ | Средний | Потеря всех бэкапов при отказе диска |
| 🔴 P0 | Инвентаризация активных VPN-аккаунтов | СБ | Низкий | "Забытые" доступы уволенных сотрудников |
| 🟡 P1 | Внедрить Veeam Backup & Replication | ИТ | Высокий | Невозможность оперативного восстановления |
| 🟡 P1 | Отказ от использования ПК как NAS | ИТ | Средний | Потеря данных отделов |
Квартал 2-3
| Приоритет | Мероприятие | Результат |
|---|---|---|
| 🟡 P1 | Миграция 1С-инфраструктуры на Hyper-V | Оптимизация лицензирования, улучшенная поддержка |
| 🟡 P1 | Развертывание полноценного Service Desk | Снижение времени реагирования на 40% |
| 🟢 P2 | Внедрение Veeam ONE для мониторинга | Проактивное обнаружение проблем |
| 🟢 P2 | Структурирование AD (OU, GPO) | Упрощение управления и безопасности |
10. Ресурсные требования
Первый год формирования ИТ отдела
11. Заключение
ИТ-инфраструктура ГК "Развитие" демонстрирует правильный вектор развития при ограниченных ресурсах. Ключевой специалист обладает практическими навыками работы с открытыми технологиями (Proxmox, Linux), однако для масштабирования бизнеса требуется:
- Стандартизация на корпоративных решениях (Microsoft stack) для упрощения поддержки и найма персонала
- Внедрение enterprise-grade системы резервного копирования (Veeam) для защиты критичных данных 1С
- Централизация хранения данных с отказа от практики использования рабочих станций как NAS
- Автоматизация процессов ИБ для исключения человеческого фактора при управлении доступами
- Формирование ИТ службы как сервиса компании
- Формирование ИТ стратегии
Критический успех: Внедрение Veeam и миграция на Hyper-V позволит снизить риск простоя системы 1С с потенциальных суток до 15 минут, что критично для финансовой отчетности и операционной деятельности компании.
В целом требуется комплексная переработка всей службы ИТ в команду специалистов, способных внедрять и поддерживать новые решения в компании, опережая ее развитие.
Сформировать отдельную службу ServiceDesk и внедрить посменное дежурство.
Организовать серверное оборудование в специальном месте.
Реализовать политику безопасности, интегрировать службу СБ.
Подготовил: Николай Волошин
Дата: 18.02.2026
No comments to display
No comments to display