Abstract
<jats:p>В статье предложен комплексный подход к проектированию защищенной сетевой инфраструктуры предприятия, базирующийся на принципах Security by Design, который предполагает интеграцию требований безопасности на всех этапах жизненного цикла системы – от физического размещения оборудования до настройки прикладного программного обеспечения. В рамках исследования разработана референсная архитектура, включающая сегментацию сети на уровне L3, использование бастион-серверов для администрирования, централизованную систему управления доступом, отключение неиспользуемых сервисов и строгую фильтрацию трафика. Экспериментальная верификация на стенде продемонстрировала, что предложенная архитектура эффективно блокирует попытки горизонтального перемещения внутри сети, повышает устойчивость к DDoS-атакам и обеспечивает обнаружение 95% инцидентов в течение первых 5 минут.</jats:p> <jats:p>This article proposes a comprehensive approach to designing a secure enterprise network infrastructure based on Security by Design principles, which involves integrating security requirements across all stages of the system lifecycle – from physical hardware deployment to application software configuration. The study developed a reference architecture that includes network segmentation at the L3 level, the use of bastion servers for administration, a centralized access control system, disabling unused services, and strict traffic filtering. Experimental verification on a testbed demonstrated that the proposed architecture effectively blocks attempts at lateral mo vement within the network, increases resilience to DDoS attacks, and ensures 95% of incidents are detected within the first 5 minutes.</jats:p>