Архив выступлений до 2003–2004 учебного года

А. М. Ивашко (ФАПСИ).
«Проблемы безопасности в инфраструктуре доступа к высокопроизводительным ресурсам».

Аннотация доклада.

  1. Определение функциональных требований, предъявляемых к системе защиты:
    1. Требования по функциональности системы разграничения доступа.
    2. Требования к инфраструктуре доступа к ресурсам.
    3. Требования по разделению ресурсов между задачами.
    4. Требования к системе приоритетов выполнения задач или выделения ресурсов, системе квотирования.
  2. Построение модели нарушителя:
    1. Цели и объекты нападения.
    2. Способы и средства осуществления атак.
    3. Определение требований по безопасности, предъявляемых к системам информационно-вычислительных ресурсов.
    4. Разработка и обоснование политики безопасности в системе информационно-вычислительных ресурсов.
А. А. Макаров (НИИ механики МГУ).
«Аналитические исследования данных мониторинга научно-образовательных сетей России на канале RBnet-Teleglobe».

Аннотация доклада.

  1. Общая характеристика загрузки канала.
  2. Статистика по ведущим научно-образовательным сетям.
  3. Анализ скорости передачи данных конечным пользователям.
  4. Кроссанализ числа соединений на канале RBnet-Teleglobe.
  5. Анализ активности хостов.
А. А. Коршунов (ЦТиТИ МГУ).
«К разработке системы формирования информации для представления в WWW».

Аннотация доклада.

В докладе рассматриваются вопросы создания системы формирования данных для представления в WWW. В основе системы лежит принцип хранения информации о странице в базе данных. Генерация страниц происходит в момент обращения к ним. В качестве источников данных для страницы может служить текстовая информация, хранимые процедуры базы данных, cgi-скрипты, адреса URL. Рассматривается вопрос создания на основе такой технологии специализированных систем для дистанционного образования, поддержки проведения научных экспериментов, информационных систем, Интернет-порталов.

Д. Е. Корочкин (ЦТиТИ МГУ).
«CORBA Transaction Service. Спецификация службы объектных транзакций OMG. Опыт реализации».

Аннотация доклада.

В докладе рассмотрены основные положения спецификации CORBA Transaction Service консорциума OMG, опыт реализации и направления развития.

В. И. Золотарев (Петродворцовый телекоммуникационный центр СПбГУ).
«Комплекс высокопроизводительных вычислений СПбГУ».
В. А. Роганов, А. Ф. Слепухин, С. А. Афонин (ЦТиТИ МГУ).
«Распределение ресурсов в кластерах».

Аннотация доклада.

Рассматривались общие вопросы распределения ресурсов в кластерах:

  1. Общие вопросы создания, учета и распределения ресурсов.
  2. Технологии распределения ресурсов между параллельными задачами.
  3. Средства обеспечения доступности и отказоустойчивости ресурсов.
  4. Методы защиты информации и собственно вычислительных ресурсов.
Вл. В. Воеводин (НИВЦ МГУ).
«Учебно-научный центр по высокопроизводительным вычислениям».
В. В. Варламов, В. В. Калегаев (НИИЯФ).
«Базы научных данных по ядерной физике и физике космоса».
Проф. Т. Аланко (Хельсинский университет).
«Исследования по технологиям передачи данных в Отделении Computer Science Хельсинского университета».
А. Н. Сандалов, Д. А. Жалдыбин, Ю. В. Максимов, Н. А. Сухарева, В. А. Фокин (ЦИСТ физического факультета МГУ, кафедра радиофизики физического факультета МГУ).
«Активный и пассивный контроль состояния канала передачи данных пакетными методами».

Аннотация доклада.

Представлены результаты активного пакетного мониторинга внутренних и внешних каналов физического факультета и НИИЯФ МГУ им.М.В.Ломоносова, полученные по методикам пакетного зондирования. Обсуждаются базовые характеристики пакетных методов, интегральные и дифференциальные параметры передачи для различных типов протоколов.

Разработанный авторами набор утилит зондирования реализован в двух вариантах: локальной версии под Windows95/98/NT для оперативного анализа структуры потерь при передаче по базовым протоколам и клиент-серверной версии с Web-интерфейсом управления сервером мониторинга.

В. А. Роганов, А. Ф. Слепухин (ЦТиТИ МГУ).
«Динамическое распараллеливание программ на базе параллельной редукции графов».

Аннотация доклада.

В связи с бурным развитием сетей на базе интернет-технологий быстро увеличивается количество приложений, требующих для их реализации высокопроизводительных информационно-вычислительных систем, новых методов распараллеливания программ и систем поддержки многопроцессорных комплексов.

В Центре телекоммуникаций и технологий Интернет МГУ проводятся исследования и практические работы по динамическому распараллеливанию программ на основе параллельной редукции графов.

Результаты исследований находят свое практическое применение в рамках работ по совместному российско-белорусскому проекту СКИФ (головной исполнитель от Российской Федерации - ИПС РАН) при проектировании и реализации новой версии Т-системы - высокоуровневого средства динамического распараллеливания программ.

Основной упор в работах делается на реализацию преимуществ модели, основанной на параллельной редукции графов, ее расширение и обобщение, а также на эффективное взаимодействие с другими моделями параллельного программирования.

Доклад посвящен изложению результатов работ на этом направлении.

А. В. Галатенко (ЦТиТИ МГУ).
«Активный аудит».

Аннотация доклада.

В докладе рассмотрены общие принципы построения систем активного аудита, как на уровне отдельных агентов, так и на уровне системы в целом. Приведено обоснование необходимости разработки и использования средств активного аудита, освещен накопленный багаж знаний и основные проблемы.

М. В. Долгов (ФАПСИ).
«Разграничение доступа в Windows NT».
П. Д. Зегжда (СПбГПУ).
«Разграничение доступа в системах на базе ОС UNIX».
Ганс Рейзер (The Naming System Venture).
«Применение сбалансированных деревьев для хранения информации: к вопросу о перспективах развития файловых систем».

Аннотация доклада.

В докладе описывается метод хранения информации, основанный на использовании сбалансированных деревьев, на примере файловой системы ReiserFS. В ReiserFS в сбалансированных деревьях хранятся не только имена файлов, но и сами файлы. Долгое время такой подход считался неэффективным с точки зрения производительности, но в настоящее время удалось показать, что специализация кода под специфику файловой системы с применением многих традиционных оптимизаций позволяет опровергнуть это утверждение.

С использованием сбалансированных деревьев особенно эффективным становится доступ к файлам небольшого размера, что позволяет внести в файловую систему многие свойства, присущие базам данных. Автор высказывает мнение, что возможности операционных систем зависят не столько от количества их компонент, сколько от количества возможных взаимосвязей между этими компонентами, и что унификация пространств имен является ключевой для увеличения числа взаимосвязей. Реализация в файловых системах технологий, применяемых в базах данных и для работы с гипертекстом является важным пунктом для их будущего развития.

В конце доклада обсуждены планы создания встраиваемых модулей для файловых систем и объектно-ориентированные алгоритмы балансировки.

А. А. Коршунов (ЦТиТИ МГУ).
«Система управления содержанием в Интернет».

Аннотация доклада.

В докладе рассматриваются вопросы создания системы подготовки и управления информацией в WWW, основанной на XML представлении документов; ключевые идеи, положенные в основу системы. Также затрагивается вопрос применения системы в таких сферах, как дистанционное образование, поддержка проведения научных экспериментов, публикация научной информации в Интернет.

А. В. Баранов, С. В. Сажин (ИПМ им. Келдыша).
«Организация защищенного удаленного доступа к многопроцессорным вычислительным системам».

Аннотация доклада.

При предоставлении удаленного (т.е. через Интернет) доступа к многопроцессорным вычислителям неизбежно возникает задача защиты от НСД. Данная работа посвящена способу организации удаленного защищенного доступа, который разработан и применяется в ИПМ им.М.В. Келдыша РАН.

Предполагается, что многопроцессорная ВС (МПВС) состоит из вычислителя и управляющей ЭВМ, через которую пользователи получают доступ к вычислителю. Предлагаемый авторами подход заключается в следующем.

  1. Удаленный доступ к МПВС должен осуществляться с использованием средств контроля и ограничения доступа:

    • вычислитель и управляющая ЭВМ помещаются в закрытую сеть, доступ в которую возможен не иначе, как через специально выделенную ЭВМ - шлюз;
    • на шлюз возлагаются функции дополнительной идентификации и аутентификации пользователей;
    • шлюз осуществляет специальную фильтрацию сетевых пакетов в/из закрытой сети.
  2. В качестве базовых ОС для компонент закрытой сети и шлюза должны использоваться системы, соответствующие классу защиты, не ниже пятого по классификации Гостехкомиссии РФ. В частности, должна обеспечиваться однозначная идентификация пользователей, их аутентификация, должно обеспечиваться, как минимум, дискреционное управление доступом к объектам системы.

  3. Все пользователи системы делятся на три группы: администраторов, локальных и удаленных пользователей. Администраторам и локальным пользователям запрещается удаленный доступ к закрытой сети. Пользователи данных категорий могут осуществлять доступ к закрытой сети исключительно с территории объекта, на которой расположена закрытая сеть. При этом администраторы имеют неограниченные права в системе (права суперпользователей), а локальные пользователи имеют права в рамках дискреционного доступа к ресурсам закрытой сети. Локальные пользователи могут использовать все возможности, предоставляемые стандартными ОС, функционирующими в закрытой сети.

  4. Удаленные пользователи - это пользователи, осуществляющие доступ к МПВС через Интернет. Непосредственный доступ пользователи данной категории должны иметь только к шлюзу. На работу удаленных пользователей накладываются следующие ограничения:

    • сетевой трафик между рабочим местом пользователя и шлюзом шифруется;
    • пользователь имеет доступ только к той информации в системе, которая принадлежит лично ему;
    • доступ пользователя к закрытой сети ограничивается следующими возможностями: подготовкой исходных текстов программ для вычислителя многопроцессорной ВС и их трансляции, подготовкой исходных данных для программ и обработкой результатов расчетов, запуска, останова и контроля за исполнением своих параллельных программ на вычислителе;
    • невозможным является доступ пользователя к процессам, которые при своем запуске получают права администратора (суперпользователя).

Для удаленных пользователей реализуется отдельная изолированная среда, содержащая все необходимые для их работы команды, программы, файлы и библиотеки. Организация отдельной изолированной среды позволяет предотвратить доступ удаленных пользователей к системным командам, программам и файлам, чем пресекаются возможные попытки НСД. Доступ удаленных пользователей из шлюза в закрытую сеть ограничивается строго определенным набором сетевых служб, необходимых для подготовки пользователями исходных текстов программ и данных, трансляции параллельных программ и их выполнения на вычислителе. Доступ удаленных пользователей контролируется администратором системы с использованием системных журналов.

Осуществление предлагаемого подхода на практике возможно за счет применения специального системного вызова change_root(), позволяющего установить домашний каталог пользователя в качестве корневого, а также за счет применения специальных разработанных авторами программных средств защищенной удаленной трансляции, запуска и контроля за прохождением параллельных задач в системе.

А. В. Галатенко, А. А. Наумов, А. А. Жеглов (ЦТиТИ МГУ).
«Дополнительные механизмы безопасности в операционнной системе Linux».

Аннотация доклада.

Доклад посвящен встраиванию дополнительных механизмов безопасности в операционную систему Linux.

Внимание будет сосредоточено на следующих аспектах:

  • Разграничение доступа (включая сетевые коммуникации).
  • Аутентификация.
  • Протоколирование и аудит.
А. С. Шундеев (ЦТиТИ МГУ).
«Системы автоматизаций бизнес процессов».

Аннотация доклада.

Автоматизация бизнес процессов позволяет улучшать контроль за работами, производящимися в организации, оптимально использовать имеющиеся ресурсы, анализировать структуру организации с целью ее возможной модернизации, а так же выявлять направления развития.

В докладе будут рассматриваться следующие вопросы:

  • базовая модель;
  • стандарты WfMC (Workflow Managment Coalition);
  • примеры: IBM MQSeries Workflow, InConcert Workflow, ...;
  • язык WPDL и проблемы моделирования.
А. Н. Бездушный, М. В. Кулагин, В. А. Серебряков (РАН).
«Интегрированная система информационных ресурсов РАН: состояние и перспективы».
В. Митюнин (Мехмат МГУ).
«Процессоры XML и XSLT. Сравнительное тестирование состоятельности и производительности».

Аннотация доклада.

В последние годы возник большой интерес к XML технологиям. Перечисление преимуществ их использования заняло бы не одну страницу. Как наиболее важные можно упомянуть легкость понимания формата и возможность внесения исправлений с помощью обычного текстового редактора (human-readable), стандартные, по большей части свободно доступные инструменты для обработки XML-документов, более строгие по сравнению с HTML правила составления состоятельных документов, возможность создания своего собственного типа документа, наличие стандартных языка запросов, стилей и трансформаций. Появилось большое количество программного обеспечения для работы с XML. Однако качество этих продуктов очень сильно различается. Очень непросто выбрать из этого разнообразия то, что лучше всего подходит для тех или иных целей. Данный доклад посвящен тестированию доступных процессоров XML и XSLT на производительность и соответствие спецификациям W3C. Также будет рассмотрена возможность применения суперкомпиляции в задачах, связанных с преобразованием XML-документов на стороне сервера средствами XSLT.

А. С. Першаков (ФАПСИ).
«Вопросы оценки защитных свойств межсетевых экранов».

Аннотация доклада.

В докладе рассмотрены требования ФАПСИ к межсетевым экранам и методики их оценки.

С. А. Крашаков (ИТФ им. Л. Д. Ландау РАН).
«Кеширование информационных потоков и стратегия оптимизации маршрутов в распределенных системах».

Аннотация доклада.

Идея кеширования, впервые предложенная для оптимизации доступа к медленным устройствам памяти и ввода/вывода компьютеров, в последние 5-6 лет активно используется во всем мире для ускорения доступа к информации в Интернет. На сегодняшний день насчитывается свыше десятка программных и аппаратно- программных решений кеш-серверов. Кроме того, в ряде стран активно развиваются распределенные и иерархические системы кеширования. В таких системах запрос, поступающий на любой из кеш-серверов, может перенаправляться на другой кеш-сервер, имеющий данный документ в своем кеше. Кроме того, в распределенной системе кеширования появляется возможность перенаправлять запрос на другой кеш-сервер и по другим критериям, например, кеш-серверу, «ближайшему» к источнику информации. При этом появляется реальная возможность балансировки загрузки различных каналов связи.

В докладе приводятся результаты сравнительных измерений эффективности получения информации с использованием распределенной системы кеширования FREEnet. Описываются методы и экспериментальные установки для подобных измерений, предлагаемые изменения в Squid. Приводятся результаты анализа средней скорости получения документов от WWW-серверов из различных доменов при использовании различных стратегий выбора маршрута кеш-сервером.

В. Н. Коваленко, Д. А. Корягин, Э. З. Любимский, Е. В. Хухлаев (ИПМ им. Келдыша).
«Управление заданиями в вычислительной сети».

Аннотация доклада.

Цель доклада - обсудить развитие работ по созданию Вычислительных Сетей, или как их принято называть на западе - Computational Grids. Несколько лет интенсивного развития показали, что идея организации из географически распределенных компьютерных установок интегрированной программно-аппаратной Вычислительной Сети имеет высокий потенциал, в том числе, и в практическом отношении, как способ получения сверхмощных вычислительных систем. Этот потенциал становится востребованным в России, так что наверное интересно оценить реальное состояние существующих в этой области программных технологий. Наша оценка следующая: построен работоспособный базовый слой программных средств, однако вырисовывается потребность в следующем уровне - уровне управляемого разделения ресурсов Вычислительной Сети.

В докладе проводится анализ наиболее популярного ПО - системы Globus: предлагаемая в ней архитектура Вычислительной Сети, командный интерфейс по дистанционному запуску заданий, доставке файлов и поиску ресурсов. Обсуждается отличие протоколов и сервисов от традиционных аналогов: новые протоколы открывают возможность для программного управления распределенными вычислениями.

Эта инструментальность системы Globus продемонстрирована в нашем собственном проекте, которому посвящена вторая часть сообщения. Средства системы Globus в принципе достаточны для работы в распределенной среде. Однако, их недостаток в том, что в них не учитывается коллективный характер использования Сети, а именно то обстоятельство, что ресурсы разделяемы (shared). Реализованный на базе системы Globus проект Метадиспетчера направлен на оптимизацию загрузки вычислительных узлов Сети. В связи с развитием проекта рассматриваются механизмы распределенного информационного сервиса (MDS) системы Globus, на который опирается диспетчеризации.

О. С. Бартунов, Е. Б. Родичев (ГАИШ МГУ, НИИ механики МГУ).
«Архитектура и реализация системы управления распределенным динамическим Web-сайтом».

Аннотация доклада.

Доклад посвящен описанию системной архитектуры и некоторых особенностей реализации системы, обеспечивающей функционирование, управление и развитие динамически обновляющегося Web-сайта в условиях предельных нагрузок. В основе системы лежит трехуровневая модель middleware, обеспечивающая масштабируемость, высокую гибкость по управлению контентным наполнением и постоянное развитие системы без нарушения текущего функционирования. Важнейшей особенностью данного решения является и распределенность управления контентом.

Обсуждается также ряд принципиальных архитектурно-технологических проблем, связанных с построением систем такого рода (определения базовых объектов, вопросы построения инкрементального и распределенного поисковых механизмов, staging), некоторые аспекты достижения экстремально высоких показателей производительности.

Представленные результаты базируются на опыте использования данной системы, разработанной в ГАИШ МГУ, в реализации как ряда научных сайтов (например, Astronet.ru), так и одного из крупнейших российских порталов Rambler.ru.

Д. В. Ершов («Информзащита»).
«Системы защиты от НСД “Secret NET”».
А. М. Ивашко (ФАПСИ).
«Федеральные критерии ISO-15408. Возможность применения».
Ф. В. Кривонос (Центральный научно-исследовательский институт управления, экономики и информации Минатома России).
«О подходе к обоснованию корректности проектирования монитора безопасности».

Аннотация доклада.

Автор: Кривонос Федор Васильевич, начальник лаборатории Центрального научно-исследовательского института управления, экономики и информации Минатома России. Область интересов - защита информации. Опыт работы в данной области - около 20 лет. Участвовал в разработке отраслевых систем защиты информации на базе ЕС ЭВМ, СМ, ПЭВМ. Большой опыт в проведении сертификационных и аттестационных испытаний по требованиям безопасности информации.

Доклад посвящен одной модели, которая, с одной стороны, отражает интуитивное представление о мониторе, как о механизме перехвата всех обращений субъектов к объектам, а с другой стороны, формализует некоторые ключевые положения методологии Общих Крите риев.

Справиться с такой сложной задачей, как доказательство корректности монитора безопасности в современных системах защиты информации, невозможно без сведения исходной системы к более простой. С этой целью в докладе делается попытка определить правильное отображение между моделями, которое сохраняет корректность монитора.

Программная система разрабатывается в несколько этапов. В докладе отношения между результатами главных этапов интерпретируются как отображения между моделями. Ставится задача разработки таких дисциплин проектирования каждого этапа, которые бы обеспечи ли правильность отображений между этапами. Тогда доказательство корректности монитора можно будет провести по индукции, отталкиваясь от корректной элементарной модели.

В. В. Корнеев (НИИ «Квант»).
«Модернизация разделяемой памяти в системах с физически распределенной памятью».
М. Г. Крейнес, А. А. Афонин (Московский специализированный центр новых информационных технологий на базе Московской медицинской академии).
«Анализ и поиск информации в глобальных и корпоративных сетях и технология смыслового анализа и поиска текстовой информации КЛЮЧИ ОТ ТЕКСТА».

Аннотация доклада.

В докладе на примере задач поиска информации в информационных ресурсах, доступных с помощью телекоммуникаций, обсуждаются роль, место и возможности смыслового поиска информации. Показаны недостаточность стандартного контекстного поиска информации и необходимость смыслового поиска. Обсуждаются принципиальные пути реализации смыслового поиска информации в телекоммуникационных сетях. Рассмотрена оригинальная технология смыслового поиска информации КЛЮЧИ ОТ ТЕКСТА: ее методологические основы, архитектура, принципы и алгоритмы анализа данных, функциональные возможности и круг решаемых задач. Демонстрируется возможность использования технологии КЛЮЧИ ОТ ТЕКСТА для поиска информации, создания вторичных информационных ресурсов, для аналитической обработки масштабных информационных ресурсов, накопленных в телекоммуникационных сетях.

Н. И. Вьюков, В. А. Галатенко, С. В. Самборский, С. М. Шумаков (НИИСИ РАН).
«Обзор методов оптимизации кода для процессоров с поддержкой параллелизма на уровне команд».

Аннотация доклада.

В докладе рассматриваются следующие темы:

  • ILP-платформы;
  • круг проблем, связанных с оптимизацией кода для ILP-процессоров;
  • области планирования кода;
  • усиление параллелизма в пределах областей планирования;
  • планирование команд;
  • особенности генерации кода для нерегулярных VLIW-архитектур.
А. А. Грушо.
«Построение защищенных систем из незащищенных элементов».

Аннотация доклада.

В докладе рассматривается вопрос создания защищенной системы из незащищенных элементов. Описывается межсетевой экран, построенный по оригинальным разработкам авторов.

Н. И. Вьюков, В. А. Галатенко, С. В. Самборский, С. М. Шумаков (НИИСИ РАН).
«Алгоритм планирования команд для VLIW-процессоров».

Аннотация доклада.

В докладе представлен алгоритм планирования команд для архитектур с очень длинным командным словом (VLIW), позволяющий находить наилучший план выполнения для заданной целевой платформы. Планирование осуществляется перебором возможных планов выполнения по методу динамического программирования. Основное содержание доклада составляют методы оптимизации перебора, позволяющие существенно сократить время работы алгоритма без сужения пространства решений.

А. А. Макаров, Г. И. Симонова, Н. Л. Ковба (НИИ механики МГУ).
«Распределение исходящего трафика с хостов российских научно-образовательных сетей на внешнем канале».
В. С. Заборовский, А. Я. Городецкий (ЦНИИ РТК, СПбГПУ).
«Фракталы и степенные законы: модели процессов в компьютерных сетях».

Аннотация доклада.

Анализ результатов многочисленных экспериментов по исследованию сетевых процессов показывает, что переход к технологии пакетной коммутации и создание интегрированных информационных приложений сопровождается появлением сложных явлений, исследование которых может быть проведено в рамках теоретико-вероятностных подходов. Характерным свойством сетевых процессов является самоподобие или масштабная инвариантность их статистических характеристик. Эти свойства связывают с особым классом физических процессов - фрактальными процессами. Поэтому особую актуальность приобретают вопросы разработки конструктивных методов исследования фрактальности и ее учет при формировании управляющих воздействий. В докладе рассматриваются модели сетевых процессов, основанные на их аппроксимации фрактальными точечным (on-off) и винеровским ( RTT - задержки) процессами. Получены выражения прогнозируемого состояния виртуальных соединений. Рассмотрены различные аспекты моделирования, связанные с решением задачи управления процессами в компьютерных сетях.

А. А. Макаров, Г. И. Симонова, Н. Л. Ковба, А. Полищук (НИИ механики МГУ).
«Проблемы статистического оценивания данных мониторинга в задачах безопасности компьютерных сетей».

Аннотация доклада.

На примерах показаны проблемы, возникающие при статистическом анализе данных мониторинга в задачах сетевой безопасности, и предложены некоторые пути и алгоритмы их преодоления. Для числа переданных пакетов в единицу времени указаны периоды локальной однородности их условных распределений в течение суток.