СОДЕРЖАНИЕ

1.	БЕЗОПАСНОСТЬ
1.1.	Эксплоит для SQL Server 2000 'Hello Bug' for Win2k(SP2)
2.	СОВЕТЫ
2.1.	Использование кэширующих дисков с SQL Server
3.	ССЫЛКИ НА СТАТЬИ
3.1.	Отечественные статьи
3.2.	Новые технические статьи Microsoft
4.	ФОРУМ SQL.RU
4.1.	Самые популярные темы недели
4.2.	Вопросы остались без ответа
5.	ИНФОРМАЦИЯ АВТОРА РАССЫЛКИ

Эксплоит для SQL Server 2000 'Hello Bug' for Win2k(SP2)

Securitylab.ru сообщает о эксплоите для SQL Server 2000, использующем порт TCP 1433, и напоминает, что патч до сих пор не выпущен. Дополнительная информация здесь: http://securitylab.ru/?ID=32291.

Рекомендация автора рассылки для временного устранения этой уязвимости:

1. Воспользовавшись утилитой SQL Server Network Utility переназначьте установленный по умолчанию порт 1433 на любой другой из свободных, желательно подальше от стандартного.
2. Если есть такая возможность, отключите этот порт.
3. Средствами прокси - сервера или соответствующего коммуникационного оборудования, ограничьте разрешённые адреса в листах доступа к новому порту.

[Содержание]

СОВЕТЫ

Использование кэширующих дисков с SQL Server

По материалам статьи Microsoft: INF: Using Disk Drive Caching with SQL Server
Информация в этой статье относится к Microsoft SQL Server 7.0

СУБД, прежде всего, призвана обеспечить точность хранимой информации и достоверный поиск данных, даже после отказа системны. Система должна гарантировать атомарность и долговечность транзакций в процессе обслуживания запросов клиентов, распределённых транзакций и при возникновении различных отказов в её работе. В литературе даже существует устоявшаяся аббревиатура для такого свойства системы: ACID (Atomicity, Consistency, Isolation and Durability). Эта статья описывает влияние кэшей дисков на работу MS SQL Server. Рекомендуется также прочитать следующие статьи Microsoft Knowledge Base:
INF: SQL Server and Caching Disk Controllers Q86903
INF: Using Hard Disk Controller Caching with SQL Server Q46091
INF: SQL Server 7.0 Logging and Data Storage Algorithms Extend Data Reliability Q230785

А также статью на сайте SQL.RU:
MS SQL Server и кэширующие дисковые контроллеры + FAQ

SQL Server 7.0 и его более ранние версии, а также многиe известные СУБД, используют протокол Write-Ahead Logging (WAL). Протокол WAL - это определенный набор шагов, необходимых для гарантии сохранности данных при обмене и их восстановления в исходное состояние в случае отказ. Аналогично компьютерной сети, использующей определенный набор протоколов надёжного и гарантированного обмена данными, протокол WAL предназначен защищать данные. Все версии SQL Server открывают файл журнала транзакций и файлы баз данных с помощью функции Win32: CreateFile. Когда SQL Server открывает файл, через dwFlagsAndAttributes включается опция FILE_FLAG_WRITE_THROUGH. Эта опция предписывает системе осуществлять запись через любой промежуточный кэш и обращаться непосредственно к диску. Система будет продолжать кэшировать операции записи, но не будет откладывать запись. Опция FILE_FLAG_WRITE_THROUGH гарантирует, что если операция записи возвращает код успешного завершения, данные будут правильно сохранены на устройстве долговременного хранения. Это свойство обеспечивает в спецификации протокола Write Ahead Logging гарантию достоверности данных. Многие дисководы (SCSI и IDE) содержат собственный кэш 512 КБ, 1 МБ или больше. Однако, кэш диска обычно замыкается конденсатором и не имеет собственной батареи. Этот механизм кэширования не может гарантировать защиты цикла записи от отказа в электропитании или аппаратных сбоев. Он гарантирует только завершение операции записи сектора. Поскольку ёмкость дисков продолжает расти, они оснащаются кэшем большого размера, и становится возможной потеря большого количества данных из-за отказа.
Многие поставщики обеспечивают поддержку кэширования дополнительными батареями. Такой кэш может хранить данные в течение нескольких дней, а в некоторых решениях плата кэширования помещается даже в другом компьютере. В таком случае, при восстановлении питания, не записанные данные сохраняются на диск, и только потом продолжается работа. Многие из таких решений позволяют регулировать процентное соотношение кэшируемых операций чтения и записи, что может существенно оптимизировать эффективность дисковой подсистемы. Такое решение позволяет также некоторым производителям увеличить размер памяти для кэша. Фактически, для значительного сегмента рынка, многие поставщики аппаратных решений предлагают высококачественные батареи, которые поддерживают длительное питание для большого размера кэша, от 6 ГБ и больше. Это позволяет существенно улучшить эффективность базы данных.
Операции I/O проходят без использования кэша, поэтому их выполнение может занимать много времени из-за механики, которая перемещает головки диска, вращает диск и т.п.
Чтобы была обеспечена полная сохранность данных, необходимо гарантировать правильное их кэширование. Часто это означает, что Вы должны отключить кэширование записи для дисковода.

ОБРАТИТЕ ВНИМАНИЕ: Необходимо, что бы используемый механизм кэширования должным образом обрабатывал многократные отказы.

Microsoft провело испытание нескольких SCSI и IDE дисков с использованием утилиты SQLIOStress. Эта утилита моделирует тяжёлый режим асинхронного чтения - записи на устройство данных и регистрационное устройство. Статистика этого теста показывает, что среднее число операций записи в секунду находится между 50 и 70 для дисков с заблокированным кэширование записи и с диапазоном RPM между 5,200 и 7,200.
Для получения дополнительной информации о SQLIOStress, см. следующую статью Microsoft Knowledge Base:
INF: SQLIOStress Utility to Stress Disk Subsystem Like SQL Server Many PC manufactures Q231619
(Например, Compaq, Dell, Gateway или HP) устанавливают диски с заблокированным кэшированием записи. Однако, проверка показала, что это не всегда имеет место. Старайтесь проверять это самостоятельно.

ОБРАТИТЕ ВНИМАНИЕ: Для получения информации относительно состояния кэширования ваших дисков, обратитесь к их изготовителю и получите специализированную утилиту или описание параметров настройки, позволяющих отключить кэширование операций записи.

[Содержание]

ССЫЛКИ НА СТАТЬИ

Отечественные статьи

Анализ защищенности корпоративных систем
При создании инфраструктуры корпоративной автоматизированной системы неизбежно встает вопрос о защищенности ее от угроз. Насколько адекватны механизмы безопасности существующим рискам? Можно ли доверять этой системе обработку конфиденциальной информации? Есть ли в текущей конфигурации ошибки, позволяющие злоумышленникам обойти механизмы контроля доступа? Содержит ли установленное программное обеспечение уязвимости, которые могут быть использованы для взлома защиты? Как оценить уровень защищенности и как определить, достаточен ли он в данной среде? Какие контрмеры позволят реально повысить уровень защищенности? На какие критерии оценки защищенности следует ориентироваться? ...
Как определить источники угроз
Очевиден тот факт, что защита информации должна носить комплексный характер. Однако организация обеспечения безопасности информации должна еще и основываться на глубоком анализе возможных негативных последствий. Важно не упустить какие-либо существенные аспекты. Уходит в прошлое нагромождение различных средств защиты как реакция на первую волну страха перед компьютерными преступлениями. Приступая к созданию системы информационной безопасности, необходимо оценить, какие угрозы наиболее актуальны...
Функциональная безопасность корпоративных систем
Задача обеспечения безопасности информационных ресурсов осознана всеми. Информационным системам доверяют решение самых разнообразных и важных задач — автоматизированное управление технологическими процессами, электронные платежи и т.д. Растут масштабы и сложность корпоративных систем. Поэтому уже недостаточно ограничиться защитой отдельного участка. Требования информационной безопасности должны быть привязаны к цели обеспечения оптимального режима функционирования информационной системы в целом. «Функциональная безопасность» и составляет предмет данной статьи...
Руководство по модели качества разработки программного обеспечения СММ
Спустя два десятилетия, проведенных в ожидании роста производительности и качества вследствие применения новых технологий и методологий создания ПО, промышленные и правительственные организации начали осознавать фундаментальную проблему, с которой они столкнулись: невозможность управления процессом разработки ПО. Стало очевидным, что преимущества, возникшие вследствие применения наилучших инструментальных средств и методов разработки, сводятся к нулю при работе в рамках неорганизованного, хаотического проекта. Многие организации отмечают, что завершение проектов зачастую слишком запаздывает, а затраченный бюджет вдвое перекрывает запланированный. Как правило, подобные неудачи вызваны тем, что организации не предоставляют своим группам разработчиков необходимой инфраструктуры и поддержки...
Управление знаниями: тернистый путь от данных к действиям
Понимание того, что отличает компанию от ее конкурентов и последующее применение этой информации является ключом к созданию успешной бизнес-политики. Для достижения подобных целей данные должны быть трансформированы в знания, которые затем будут применяться в бизнес-процессах. Прежде всего, данные должны быть превращены в пригодную для использования информацию, объединенную с информацией, взятой из различных неструктурированных источников, таких как интернет, электронная почта, документы и так далее. Знания должны быть извлечены из этой информации и предоставлены сотрудникам, и таким образом должно быть организовано совместное использование знаний, их защита и интеграция в цепочку бизнес-процессов. Только тогда могут быть достигнуты эффективные преимущества перед конкурентами и минимизированы затраты...
Системы хранения данных – теория и практика
Большинство компьютерных систем предназначено для обработки данных (а вовсе не для убития времени играми, как иногда может казаться). Именно данные представляют истинную ценность, являются активом любой организации и подлежат надежному сохранению. Потеря данных может вызвать остановку производства на значительное время и даже повлечь гибель бизнеса. Надлежащее решение задачи сохранности данных зачастую невозможно обеспечить с помощью отдельно взятого устройства. Гарантированный результат могут дать только системы хранения данных (СХД), объединяющие технические и программные средства, технологию работ и организационные мероприятия, обязательно включающие подготовку персонала, поскольку даже не говоря о преднамеренных деструктивных действиях, именно действия персонала являются источником наибольшей угрозы...
Практикум по применению IDEF0 для функционального описания программного обеспечения. Часть 1
Если анализировать объявления о найме сотрудников фирм, занимающихся разработкой программного обеспечения, то в последнее время ощущается острая нехватка руководителей проектов, способных грамотно осуществлять постановку задач. Проблема заключается не в том, что они не могут сформулировать задачу, а в том, что они не могут корректно оформить документацию с учетом современных стандартов проектирования. Заказчику уже мало дать несколько листиков, набранных в Word. Он хочет документацию, оформленную в BPWin, ErWin, S-Designer, Power Designer, Rational Rose и т.д. За каждым из этих CASE-средством стоит стандарт. Данная статья посвящена одному из них — IDEF0...
Работа с данными вчера, сегодня, завтра. Схема в Typed dataset
И что же оно такое - Dataset? Это полноценная система из таблиц, строк, столбцов, ограничений (constraints) и отношений (relations). Датасет может содержать полный слепок БД, или же только ее фрагмент. Кроме того, датасет предоставляет возможность управления этими взаимосвязями не только в статике, но и в динамике...
TClientDataSet.Утечка памяти при загрузке XML
Действительно, проверка показывает, что при загрузке данных из XML-файла последующее закрытие ClientDataSet не освобождает часть выделенной памяти...
Работа с XML-файлами в 1С. Часть I. Формирование XML-файла
XML , как известно, один из языков разметки. Подробно о нем можно прочитать в книге и немного в Инете. С его помощью легко реализовать древовидную структуру хранения данных , а также задать жесткие правила построения дерева, что уменьшит ошибки, связанные с доступом к данным...
eXtensible Markup Language. Продолжение. Начало в КГ №27
В прошлый раз мы остановились на описании спецификации DTD для XML-документов. Это очень важный момент, так как правильно составленный DTD позволяет гарантировать структурированность XML-документа и выявление всех неточностей. В этой статье мы продолжим знакомство с XML и его расширениями...
Crystal Reports 8.0 через API
Crystal Reports (далее как CR) на сегодняшний день является лидирующим пакетом для разработки отчетности в крупных компаниях. Для доступа к отчетам компания Seagate предоставляет несколько вариантов...

[Содержание]

Новые технические статьи Microsoft

PRB: A Distributed Query May Fail If You Use the Xp_sendmail Stored Procedure with the @query Parameter on a Linked Server (Q320656)
PRB: Maintenance Job Fails on Named Instances of SQL Server 2000 with Error 22029 (Q326485)
PRB: Backup Size Displayed Incorrectly in SQL Server Enterprise Manager When the Backup Size is Greater Than 2,147,483,647 Bytes (2 GB) (Q321670)
PRB: Using the Xp_sendmail Stored Procedure with the @query Parameter Returns Trailing Spaces (Q323477)
HOW TO: Create Patch Files for the MSDE 2.0 Sample.msi File (Q314131)
HOW TO: Use the DisallowAdHocAccess Setting to Control Access to Linked Servers (Q327489)
HOW TO: Troubleshoot Slow-Running Queries on SQL Server 7.0 or Later (Q243589)
INF: How to Monitor SQL Server 7.0 Blocking (Q251004)
INF: How to Monitor SQL Server 2000 Blocking (Q271509)
INF: SQL Server 2000 Security Update for Service Pack 2 (Q316333)

[Содержание]

ФОРУМ SQL.RU

Самые популярные темы недели

Помогите новичку MS SQL 2000
убей двойника
расширенная процедура
Как из сервера сохранить файл на клиент
Как получить разницу между таблицами?
Тригеры или хранимые процедуры ... ?
VB Recordset --numeric and float-- запятая и точка [new]
Copirovanie iz EXCEL v MSSQL, stranniie veshi proishodiat [new]
local DTS
Настройка MSSQL 2000
Помогите девушке установить Sql Server 7.0/2000
странность SQL2000 проблема в настройке?
Extended Stored Procedures: ???
Сортировка
INSERT в откатываемой транзакции
Конкретная запись из таблицы
ANSI_NULLS и ANSI_DEFAULTS [new]
Вопрос о Linked Server???
Чо это за deadlock ?
Как на выходе из stored procedure получить результат SELECT?
Из EXCEL в OLAP (явно нетривиальная задача)
супертипы и подтипы [new]
Как пронумеровать строки резльтирующего набора?
SQL Mail в MSSQL 2000
Подскажите, пожалуйста, как в MSSQL реализовать иерархический запрос
identity
убей двойника 2 (продолжение)
Как получить уникальные записи?
OPENROWSET вместо DTS...
Загрузка с запросом
как забэкапить процедуры ?
увеличивается время выполнения запроса
Как в Excel выгрузить данные полученные после выполнения процедуры.
перенос tempdb
Потенциальная несовместимость?
Помогите уменьшить журнал транзакций
MSSQL2000 - Репликация [new]
И снова про русский sysmessages [new]
Почему R/O?
удалить статистику????
Помогите написать запрос (маленькая поправочка).
MSSQL 2000 :: Репликация транзакций :: Queue Reader Agent

[Содержание]

Вопросы остались без ответа

Help me, please!!!!!
Finding dropped table
????? при импорте из текстового файла (bcp)
ToПочемучка! здесь ссылка на текст процедуры поиска (+) IBExpert для MS SQL
VCS чтение dbf в котором удалены строки
Книга для изучения SQL 2000.
Помогите найти CD к учебному курсу SQL 7.0
НЕМОГУ СДЕЛВТЬ ИЗ ТАБЛИЦЫ ДЕРЕВО XML
Господа, есть у кого теория по строительству ХД в эл. виде ?
Replace sqlmap70.dll
ПОМОГИТЕ !!! есть батник, он выполняется как sql-job, но после перехода на...
sadf

[Содержание]

ИНФОРМАЦИЯ АВТОРА РАССЫЛКИ

В настоящее время я рассматриваю варианты своего участия в новых проектах. Интерес представляют крупные системы баз данных, как развивающиеся, так и разрабатывающиеся "с нуля". Если Ваша организациия находиться в Москве или ближайшем подмосковье и нуждается в услугах MS SQL Server DBA, предлагаю рассмотреть моё резюме, которое всегда доступно по этой ссылке: http://www.sql.ru/subscribe/REZUME.shtml

[Содержание]