nApoBo3

Коммутировать второй коммутатор к маршрутизатору. Настроить на маршрутизаторе фаервол и роутинг.
Есть два варианта атаки, первая атака периметра, т.е. попытка получить контроль над маршрутизатором извне, вторая атака на сервисы за "границей" маршрутизатора. Если вы хотите обезопасить сеть и полагаете, что сервисы в сети видеонаблюдения могут быть уязвимы, то следует относиться к ней как не доверенной сети и соответствующим образом настроить фаервол( т.е. считать, что это второй такой же интернет ).
Но не следует забывать, что получив доступ к сети видеонаблюдения, злоумышленник может использовать весьма изощренную атаку основанную на данных видеонаблюдения, начиная от подсмотра паролей, заканчивая хитрой социальной инженерией.

Надо понимать, плохой uplink это не излечимо. Можно покрутить настройки и сделать лучше, но не более того.
Из настроек, можно поиграть с размером пакета, джитером, кодеком. Размер пакета уменьшать, джитер увеличивать, кодек ставить самый жмущий из поддерживаемых( но это скажется на качестве связи ).

В как к мегафону подключены, как физ или как юр.лицо?
ИМХО самый простой способ, разместить на колакейшен шлюз или развернуть шлюз в облаке.

Судя по формулировки вопроса вам лучше всего обратиться к специалисту.
Если кратко, скорость обычного жесткого диска в пределе 150мбайт/c, при случайном доступе может падать вплоть до нескольких мбайт в секунду. Проверить есть ли проблема с производительностью диска можно через очередь команд к диску( есть такая метрика производительности ).

VLAN это сегментирование сети. Если у вас есть необходимость сегментировать сеть, то делайте, если нет, то нет.

VLAN по отделам вообще на мой взгляд странная вещь, зачем они реально нужны загадка.

Не очень представляю себе сеть в которой 40 компьютеров и если необходимость в 14 портовом маршрутизаторе.
Или делайте l3 на уровне доступа, тогда вам нужны микротики сразу на "40" портов( 10 по 4, или два по 24 это уже решать вам ). Или делайте доступ l2, но тогда зачем на микротике 14 портов?

Всю диагностику надо проводить в момент возникновения проблемы. Если ее можно вызвать искусственно( т.е. например торможение обязательно проявиться на одном из 10 файлов ), то уже пол дела можно сказать сделано.
Как только проблема возникла.
1) Проверяем нагрузку на портах
2) Пытаемся создать доп.нагрузку, смотрим удалось ли( можно включить 4к виде на youtube с другого компа в том же vlan )
3) Пытаемся создать нагрузку из другого vlan.
4) Если утилизация канала с ростом нагрузки растет, нагрузка успешно "масштабируется", то пытаемся скачать файл аналогичного формата с другого сервера( в момент наличия проблемы ) в том же vlan.( формат файла может влиять на работу антивирусов )
5) Повторяем пункт 4 на компе, на котором есть проблема( есть прямо сейчас ).

Если все 5 пунктов показывают нормальную работу, значит проблема в канале между вами и сервером( в том числе проблема может быть с самим сервером ).
В любом случае это позволит вам отсечь кучу вариантов.

Не зная специфику сети сложно давать советы. Общее правило, площадь атаки должна быть минимальной.
В идеале ограничить доступ по SSH только локальной сетью, если это не возможно, то белым списком ip. В любом случае следует предпринять меры по блокировке брутфорса. wiki.mikrotik.com/wiki/Bruteforce_login_prevention

Или elastix и изучать, или купить готовую АТС, как вариант grandstream 6104. У нас такие в филиалах стоят, полет нормальный, стоят не дорого, могут рулить родными телефонами.

Данная схема работоспособна, на шлюз интерфейса 173.0.0.10 нужно прописать маршрут по умолчанию, маршрут в локальную сеть у вас пропишется сам если корректно указанна маска подсети. Но необходимо учитывать, что есть масса проблем с NAT которые надо уметь решать.

Очень рекомендую вам обратиться к специалистам. Ваш уровень знаний, судя по вопросам, выльется в большие финансовые потери в случае подключения АТС к любым внешним линиям( городским, GSM и VOIP ).

Если разделы не зашифрованы бессмысленно, всегда можно забутится с внешнего носителя. Отчасти эту проблему решает Vpro, если не ошибаюсь.

Варианта три:
1) никак
2) хранить здесь и мутить с трансграничной передачей.
3) доказать, что это не персональные данные.

Закон мутный и предполагает массу бумажной работы, при этом как бы вы не раскорячились мутные формулировки и внутренне инструкции для различных ведомств в любом случае позволяют вас взять за попу.

Лучше нанять людей которые на этом специализируються, хотя это и не дёшево.

Рекомендую отказаться от донглов сразу, намечаетесь.

Возьмите мозги супермикро из листа и проверьте с ними отключив все остальное, у супермикры есть встроенные тесты.

Для начала принтсервер, и избавляться от зоопарка, желательно моновендер иначе вероятны различные грабли с драйверами, ну и естественно с деплоем, мониторингом, картриджами. Но на ваших объёмах пока не актуально.

Краткий ответ, нет не можете, закон вам такого права не представляет.

Защитить от копирования файловую базу данных без промежуточного слоя в общем случае невозможно. Можно несколько затруднить данную операцию. Но если пользователь может работать с данной базой, то может и скопировать.

Некоторые рынки имеют чрезвычайно низкий порог входа по деньгам. Если сотрудник может без вас создать, продать и поддерживать реально конкуренетный проект значит вы лишнее звено кушающее деньги. У нас бизнес привык, что сотрудник ему принадлежит и можно просто так получать деньги с его труда, в некоторых сферах это не работает, поскольку средства производства доступны каждому.
Единственный вариант этого избежать( не полностью, но вполне системно ) делиться и стремить к взаимовыгодному сотрудничеству. Специалисту должно быть выгодней остаться с вами, чем отделиться.