狠狠撸

狠狠撸Share a Scribd company logo

翱谤补肠濒别数据库高级安全选件础厂翱介绍

Download as PPTX, PDF
J
jenkin

Oracle ASO

1 of 32
Downloaded 63 times
<Insert Picture Here> Advanced Security Option 高级安全选件
Oracle 数据库安全性 Data Masking 历经30多年的创新 TDE Tablespace Encryption Oracle Total Recall Oracle Audit Vault Oracle 10g Oracle Database Vault 透明数据加密 EM 配置扫描 细粒度审计 (9i) Oracle 9i 安全应用程序角色 客户端标识符 / 身份传播 Oracle Label Security (2000) 代理验证 Oracle 8i 公司用户安全性 全局角色 虚拟专用数据库 (8i) 数据库加密 API Oracle 7 强身份验证 (PKI, Kerberos, RADIUS) 原生网络加密 (Oracle7) 数据库审计 1977 政府客户 2010
Oracle 数据库安全性 为实现安全性与合规性的“纵深防御” 加密与屏蔽 ? Oracle Advanced Security ? Oracle Secure Backup ? Oracle Data Masking 访问控制 ? Oracle Database Vault ? Oracle Label Security 监控 ? Oracle Audit Vault Encryption & Masking ? Oracle Configuration Management Access Control ? Oracle Total Recall Monitoring
Oracle 高级安全性 动态和静态数据 Oracle 高级安全 强认证 应用服务器/客户端 Oracle高级安全 网络加密 数据读取 数据存盘 备份数据库 自动解密 自动加密 Oracle高级安全 透明数据加密 Redo apply redo logs 包含加密数据 备份文件数据加密
Oracle Advanced Security 概览 ? 透明数据加密(TDE) – 无需应用修改 Strong – 表空间加密与列级加密 Authentication – 内置密钥管理 – 加密RMAB备份集和数据泵导出集 Network – 加密Oracle Securefiles (LOBS) Encryption ? 网络加密 – SSL/TLS – 本地 – 无证书要求 75000 ( ) ^#^*>* Encrypted Disks, Backups, ? 强验证 Exports – Kerberos, PKI , RADIUS
Oracle Advanced Security TDE 列加密 ? Database 10g Release 2版本开始可用 – 推荐在版本10.2.0.4 及后续版本使用 – 新?nomac? 选项 (每个加密值可节省20个字节) ? 加密应用表中的敏感数据 – 信用卡号, SSN, 各类密码, … ? 密钥管理 – 每张表一个密钥 – 表密钥再用TDE主密钥进行加密– 2 级密钥架构
职责分离 Wallet 密码与 System 或 DBA 密码分开 无权访问wallet DBA 启动 Database 安全DBA 打开含有master key 的 wallet
主密钥和列密钥 主密钥加密列密钥 Master key存储于 PKCS#12 wallet 安全DBA 打开含有主密钥 的 wallet 列密钥 加密列中的数据
TDE 列级加密 与Oracle Enterprise 惭补苍补驳别谤集成
Oracle Advanced Security 加密列 ? 在现存的表中加密列: alter table credit_rating modify (person_id encrypt) ? 创建带有加密列的新表: create table orders ( order_id number (12), customer_id number(12), credit_card varchar2(16) encrypt); 注 – 缺省算法是 AES 192
Oracle Advanced Security 列级加密性能 ? 使用索引同样查询以达到最优性能 Alter table credit_rating modify (PERSON_ID encrypt no salt) Create index person_id_idx on credit_rating (PERSON_ID) Select score from credit_rating where PERSON_ID='235901'; ? 在加密列上的范围扫描不能使用索引 ? 在数百万行的表上成功运行大量卡类处理业务
Transparent Data Encryption 透明数据加密 列级加密部署步骤 确认具有敏感信息的字段 1 Credit Card numbers, SSN … TDE是否支持该数据类型? 2 TDE supports datatypes most commonly used for PII data 3 字段是否正好是外键或范围扫描索引的一部分? Simple Data Dictionary Query 4 加密现存和新数据 EM, SQL*Developer GUI or Command line DDL, Alter Table….. 访问OTN可获得完整数据类型的列表和更多信息
LAB
Oracle Advanced Security 表空间加密 ? 加密所有类型应用数据 SQL Layer – 加密整个表空间 – 无需确认特定字段 Buffer Cache – 在数据类型,索引查询或外键上无限制 “SSN = 987-65-..” ? 高性能 – 无额外存储开销 – 高性能 (平均~ 5%) – 与Oracle高级压缩配合使用 – 数据块在被 压缩前被压缩 data blocks “*M$b@^s%&d7” ? 应用无须修改 – 支持所有数据类型 undo temp blocks blocks – 支持索引范围扫描 redo flashback logs logs
Oracle Advanced Security 不同版本的不同特性 Oracle Oracle Oracle Oracle Database 9i Database 10g Database 11g Database 11g Release 2 Release 2 Release 1 Release 2 TDE with Exadata TDE 使用HSM表空间加密 TDE 表空间加密 TDE 针对SecureFiles列级加密 TDE 使用HSM列级加密 TDE 列级加密 网络加密 强验证
Oracle Advanced Security TDE可用于数据泵和RMAN ? Oracle Data Pump 数据泵 – 批量导出/导入到操作系统文件中 – 使用ENCRYPTION参数来加密dump文件 – 数据泵expdp命令可使用一个密码或ASO中更安全的主密钥来加密 数据 ? Oracle RMAN – 用于数据备份和恢复 ? 使用自身主密钥或密码来加密导出集或备份集 ? RMAN和数据泵可同时压缩和加密
Oracle Advanced Security 透明数据加密的密钥管理 ? 内置密钥的生命周期管理 – 产生, 存储, 转换和销毁主密钥 – 软件wallet钱包 或 HSM存储密钥 ? 硬件安全模块 (HSM): – 特殊目的的硬件 – 开放的PKCS#11接口使得Oracle用户可广泛选择各类HSM提供商 Open Master Key Master Key Security DBA
Oracle Advanced Security 加密非结构性数据 ? Oracle SecureFiles数据类型 – Oracle数据库11g中新的非结构性数据类型 – 与LOB数据类型类似,但更快且功能更多 – 与本地文件系统相比,非结构性数据可以更快且更安全维护 ? 使用透明数据加密来保护 – 对存储在数据库中的非结构性数据,提供额外保护 – 加密整个表空间或单独的SecureFile字段 – 可用于DICOM影像和财务合同扫描件
Oracle Advanced Security 创建一个加密的表空间
Oracle Advanced Security 对表空间加密 ? 使用关键字“Encrypt”,创建新表空间 CREATE TABLESPACE securespace2 DATAFILE '/home/user/oradata/secure01.dbf' SIZE 150M ENCRYPTION DEFAULT STORAGE(ENCRYPT); 注 – 缺省算法是 AES 128
LAB
表空间加密 架构 SQL Layer ? 数据库级别加密 – 在I/O期间加密/解密数据块 Buffer Cache – 数据块在缓冲区被解密以应对频繁访问 “SSN = 834-63-..” ? 磁盘上不保存明文数据 – 回滚块 – 排序/连接的临时块 – 重做日志 data blocks – 闪回日志 “*M$b@^s%&d7” ? 与TDE密钥管理集成 undo temp blocks blocks redo logs flashback logs
表空间数据加密深入 ? 11g中新的基于块级别静态数据加密技术, 写时加密,读时解密 ? 数据在I/O(块)级别进行加密解密,而不是在内存中 (与列级TDE不同,它是在服务进程的PGA中进行加密) ? 加密仅对I/O不利, 因此加密性能上开销比列级TDE好 ? SQL访问路径不会改变 (然而会被CBO识别为需要一些开销) ? 加密算法 – AES128, AES192, AES256, 3DES168 (缺省AES128) – 使用CFB (cipher feedback) 模式来保持空间 ? 每个表空间/日志文件有唯一密钥 ? 表空间和日志文件的密钥,由Wallet钱包里的主密钥保护 (使用AES256)
表空间数据加密 密钥管理 ? 与列级TDE使用方式一样,主密钥由外部Wallet钱包维护 ? 每个表空间有一个加密密钥,物理存放在数据文件的头部 数据块里 ? 对跨越多个数据文件的加密表空间来说,表空间密钥冗余 存放在每个数据文件的头部 ? 主密钥用来解密表空间的密钥 ? 主密钥也可像列级TDE一样进行转换 (如 ALTER SYSTEM SET ENCRYPTION KEY 命令) ? 目前不能重置表空间加密密钥 – 可选方式是创建新的加密表空间,再将数据从原有表空间移动过来 ? 11gR2中主密钥得到统一(创建 保存 转换)
如何将已有表空间转换为加密表空间 ? 没有ALTER TABLESPACE命令,来自动转换未加密表 空间成加密表空间 ? 进行转换的步骤: – 备份原先未加密的表空间 (非常重要!). – 使用加密选项来创建新表空间 – 从原先表空间移动对象到新的加密表空间 (确保重建任何失效的索引) – 删除原先的表空间 – 如果需要的话将新表空间更名为原先表空间的名称
分区表与加密表空间 ? 一个分区表可以是: – 所有分区在同一个加密表空间里 – 部分分区在不同的加密表空间里 – 部分分区在未加密的表空间,部分表空间在加密的表空间里 ? 检查DBA_TAB_PARTITIONS 视图查看详情 TABLE_NAME PARTITION_NAME TABLESPACE_NAME ENC -------------------- -------------------- -------------------- --- SALES_LIST SALES_WEST DATA02 NO SALES_LIST SALES_CENTRAL DATA03_ENC YES
索引使用 – 揭示事实 ? 每一个索引叶子键和rowid相关 – File#, Block#, Row Offset ? 索引键进入SGA时被解密 ? Rowid提供给服务器进程表中数据的位置, 然后表数据 块进入SGA时被解密 ? 因此索引仍旧会被CBO使用,而不论索引是否和表在同 一个加密表空间里,或不同加密表空间里,亦或是未加密 的表空间里
Transparent Data Encryption透明数据加密 表空间还是列级加密? ? 以下情况使用表空间加密: – 很难确认所有的敏感数据 – 想加密大量数据 – 想使用索引范围扫描 – 需要使用传输表空间功能 ? 以下情况使用列级加密: – 仅想加密少数字段 – 基于HSM来管理密钥 – 更容易重置表密钥和主密钥 ? 两种技术可在同一数据库中共用
Oracle Advanced Security 网络加密和强验证 ? 加密和数据库的所有通信 – AES (128, 192, 256 bit keys) – RSA RC4 (128, 256-bit keys) – 3DES (2 and 3 key) – Diffie-Hellman key exchange ? 基于校验实现数据完整性 – SHA-1 – 自动侦测修改,重放和丢包 ? 强验证 – Kerberos, PKI – RADIUS
LAB
Oracle Advanced Security 总结主要的功能点 TDE TDE Tablespace Column Encryption Encryption Hardware Security Module Strong Network Authentication Encryption Master Key Oracle Wallet Encrypted Exports RMAN / TDE Fully Encrypted Database Backups to Disk
Q&A

Recommended

Presentation capacity management for oracle exadata database machine v2
Presentation capacity management for oracle exadata database machine v2Presentation capacity management for oracle exadata database machine v2
Presentation capacity management for oracle exadata database machine v2
xKinAnx
?
Exadata SMART Monitoring - OEM 13c
Exadata SMART Monitoring - OEM 13cExadata SMART Monitoring - OEM 13c
Exadata SMART Monitoring - OEM 13c
Alfredo Krieg
?
Sqlmap
SqlmapSqlmap
Sqlmap
Institute of Information Security (IIS)
?
Intro to Pentesting Jenkins
Intro to Pentesting JenkinsIntro to Pentesting Jenkins
Intro to Pentesting Jenkins
Brian Hysell
?
sqlmap - security development in Python
sqlmap - security development in Pythonsqlmap - security development in Python
sqlmap - security development in Python
Miroslav Stampar
?
Directory Traversal & File Inclusion Attacks
Directory Traversal & File Inclusion AttacksDirectory Traversal & File Inclusion Attacks
Directory Traversal & File Inclusion Attacks
Raghav Bisht
?
Advanced SQL Injection
Advanced SQL InjectionAdvanced SQL Injection
Advanced SQL Injection
amiable_indian
?
Advanced Sql Injection ENG
Advanced Sql Injection ENGAdvanced Sql Injection ENG
Advanced Sql Injection ENG
Dmitry Evteev
?
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
Lenur Dzhemiliev
?
Sql injections - with example
Sql injections - with exampleSql injections - with example
Sql injections - with example
Prateek Chauhan
?
Sql injection
Sql injectionSql injection
Sql injection
Nikunj Dhameliya
?
MySQL Cookbook: Recipes for Your Business
MySQL Cookbook: Recipes for Your BusinessMySQL Cookbook: Recipes for Your Business
MySQL Cookbook: Recipes for Your Business
Sveta Smirnova
?
Asynchronous programming patterns in Perl
Asynchronous programming patterns in PerlAsynchronous programming patterns in Perl
Asynchronous programming patterns in Perl
deepfountainconsulting
?
Sql injection
Sql injectionSql injection
Sql injection
Nitish Kumar
?
Oracle Instance Architecture.ppt
Oracle Instance Architecture.pptOracle Instance Architecture.ppt
Oracle Instance Architecture.ppt
HODCA1
?
Sql injection - security testing
Sql injection - security testingSql injection - security testing
Sql injection - security testing
Napendra Singh
?
Sql injection with sqlmap
Sql injection with sqlmapSql injection with sqlmap
Sql injection with sqlmap
Herman Duarte
?
Surat rawatan klinik 1 malaysia
Surat rawatan klinik 1 malaysiaSurat rawatan klinik 1 malaysia
Surat rawatan klinik 1 malaysia
AinulAdawiyah1
?
Part3 Explain the Explain Plan
Part3 Explain the Explain PlanPart3 Explain the Explain Plan
Part3 Explain the Explain Plan
Maria Colgan
?
Broken access controls
Broken access controlsBroken access controls
Broken access controls
Akansha Kesharwani
?
Implementing Auditing in SQL Server
Implementing Auditing in SQL ServerImplementing Auditing in SQL Server
Implementing Auditing in SQL Server
David Dye
?
Oracle SQL Tuning for Day-to-Day Data Warehouse Support
Oracle SQL Tuning for Day-to-Day Data Warehouse SupportOracle SQL Tuning for Day-to-Day Data Warehouse Support
Oracle SQL Tuning for Day-to-Day Data Warehouse Support
nkarag
?
JavaScript Inheritance
JavaScript InheritanceJavaScript Inheritance
JavaScript Inheritance
Jussi Pohjolainen
?
Advanced SQL injection to operating system full control (whitepaper)
Advanced SQL injection to operating system full control (whitepaper)Advanced SQL injection to operating system full control (whitepaper)
Advanced SQL injection to operating system full control (whitepaper)
Bernardo Damele A. G.
?
P.A Bab G
P.A Bab GP.A Bab G
P.A Bab G
aimm reka
?
Oracle Forms : Timers
Oracle Forms : TimersOracle Forms : Timers
Oracle Forms : Timers
Sekhar Byna
?
XML & XPath Injections
XML & XPath InjectionsXML & XPath Injections
XML & XPath Injections
AMol NAik
?
Oracle architecture
Oracle architectureOracle architecture
Oracle architecture
Soumya Das
?
SINGLE CLIENT ACCESS NAME (SCAN)
SINGLE CLIENT ACCESS NAME (SCAN)SINGLE CLIENT ACCESS NAME (SCAN)
SINGLE CLIENT ACCESS NAME (SCAN)
jenkin
?
MatematicasMatematicas
Matematicas
criollitoyque
?

More Related Content

What's hot (20)

OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
Lenur Dzhemiliev
?
Sql injections - with example
Sql injections - with exampleSql injections - with example
Sql injections - with example
Prateek Chauhan
?
Sql injection
Sql injectionSql injection
Sql injection
Nikunj Dhameliya
?
MySQL Cookbook: Recipes for Your Business
MySQL Cookbook: Recipes for Your BusinessMySQL Cookbook: Recipes for Your Business
MySQL Cookbook: Recipes for Your Business
Sveta Smirnova
?
Asynchronous programming patterns in Perl
Asynchronous programming patterns in PerlAsynchronous programming patterns in Perl
Asynchronous programming patterns in Perl
deepfountainconsulting
?
Sql injection
Sql injectionSql injection
Sql injection
Nitish Kumar
?
Oracle Instance Architecture.ppt
Oracle Instance Architecture.pptOracle Instance Architecture.ppt
Oracle Instance Architecture.ppt
HODCA1
?
Sql injection - security testing
Sql injection - security testingSql injection - security testing
Sql injection - security testing
Napendra Singh
?
Sql injection with sqlmap
Sql injection with sqlmapSql injection with sqlmap
Sql injection with sqlmap
Herman Duarte
?
Surat rawatan klinik 1 malaysia
Surat rawatan klinik 1 malaysiaSurat rawatan klinik 1 malaysia
Surat rawatan klinik 1 malaysia
AinulAdawiyah1
?
Part3 Explain the Explain Plan
Part3 Explain the Explain PlanPart3 Explain the Explain Plan
Part3 Explain the Explain Plan
Maria Colgan
?
Broken access controls
Broken access controlsBroken access controls
Broken access controls
Akansha Kesharwani
?
Implementing Auditing in SQL Server
Implementing Auditing in SQL ServerImplementing Auditing in SQL Server
Implementing Auditing in SQL Server
David Dye
?
Oracle SQL Tuning for Day-to-Day Data Warehouse Support
Oracle SQL Tuning for Day-to-Day Data Warehouse SupportOracle SQL Tuning for Day-to-Day Data Warehouse Support
Oracle SQL Tuning for Day-to-Day Data Warehouse Support
nkarag
?
JavaScript Inheritance
JavaScript InheritanceJavaScript Inheritance
JavaScript Inheritance
Jussi Pohjolainen
?
Advanced SQL injection to operating system full control (whitepaper)
Advanced SQL injection to operating system full control (whitepaper)Advanced SQL injection to operating system full control (whitepaper)
Advanced SQL injection to operating system full control (whitepaper)
Bernardo Damele A. G.
?
P.A Bab G
P.A Bab GP.A Bab G
P.A Bab G
aimm reka
?
Oracle Forms : Timers
Oracle Forms : TimersOracle Forms : Timers
Oracle Forms : Timers
Sekhar Byna
?
XML & XPath Injections
XML & XPath InjectionsXML & XPath Injections
XML & XPath Injections
AMol NAik
?
Oracle architecture
Oracle architectureOracle architecture
Oracle architecture
Soumya Das
?
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
OWASP Top 10 Vulnerabilities - A5-Broken Access Control; A6-Security Misconfi...
Lenur Dzhemiliev
?
Sql injections - with example
Sql injections - with exampleSql injections - with example
Sql injections - with example
Prateek Chauhan
?
Sql injection
Sql injectionSql injection
Sql injection
Nikunj Dhameliya
?
MySQL Cookbook: Recipes for Your Business
MySQL Cookbook: Recipes for Your BusinessMySQL Cookbook: Recipes for Your Business
MySQL Cookbook: Recipes for Your Business
Sveta Smirnova
?
Asynchronous programming patterns in Perl
Asynchronous programming patterns in PerlAsynchronous programming patterns in Perl
Asynchronous programming patterns in Perl
deepfountainconsulting
?
Sql injection
Sql injectionSql injection
Sql injection
Nitish Kumar
?
Oracle Instance Architecture.ppt
Oracle Instance Architecture.pptOracle Instance Architecture.ppt
Oracle Instance Architecture.ppt
HODCA1
?
Sql injection - security testing
Sql injection - security testingSql injection - security testing
Sql injection - security testing
Napendra Singh
?
Sql injection with sqlmap
Sql injection with sqlmapSql injection with sqlmap
Sql injection with sqlmap
Herman Duarte
?
Surat rawatan klinik 1 malaysia
Surat rawatan klinik 1 malaysiaSurat rawatan klinik 1 malaysia
Surat rawatan klinik 1 malaysia
AinulAdawiyah1
?
Part3 Explain the Explain Plan
Part3 Explain the Explain PlanPart3 Explain the Explain Plan
Part3 Explain the Explain Plan
Maria Colgan
?
Broken access controls
Broken access controlsBroken access controls
Broken access controls
Akansha Kesharwani
?
Implementing Auditing in SQL Server
Implementing Auditing in SQL ServerImplementing Auditing in SQL Server
Implementing Auditing in SQL Server
David Dye
?
Oracle SQL Tuning for Day-to-Day Data Warehouse Support
Oracle SQL Tuning for Day-to-Day Data Warehouse SupportOracle SQL Tuning for Day-to-Day Data Warehouse Support
Oracle SQL Tuning for Day-to-Day Data Warehouse Support
nkarag
?
JavaScript Inheritance
JavaScript InheritanceJavaScript Inheritance
JavaScript Inheritance
Jussi Pohjolainen
?
Advanced SQL injection to operating system full control (whitepaper)
Advanced SQL injection to operating system full control (whitepaper)Advanced SQL injection to operating system full control (whitepaper)
Advanced SQL injection to operating system full control (whitepaper)
Bernardo Damele A. G.
?
P.A Bab G
P.A Bab GP.A Bab G
P.A Bab G
aimm reka
?
Oracle Forms : Timers
Oracle Forms : TimersOracle Forms : Timers
Oracle Forms : Timers
Sekhar Byna
?
XML & XPath Injections
XML & XPath InjectionsXML & XPath Injections
XML & XPath Injections
AMol NAik
?
Oracle architecture
Oracle architectureOracle architecture
Oracle architecture
Soumya Das
?

Viewers also liked (14)

SINGLE CLIENT ACCESS NAME (SCAN)
SINGLE CLIENT ACCESS NAME (SCAN)SINGLE CLIENT ACCESS NAME (SCAN)
SINGLE CLIENT ACCESS NAME (SCAN)
jenkin
?
MatematicasMatematicas
Matematicas
criollitoyque
?
Urinary tract infections
Urinary tract infectionsUrinary tract infections
Urinary tract infections
Yohaimi Cosme Ayala
?
HANA overview
HANA overviewHANA overview
HANA overview
jenkin
?
Oracle Golden Gate Introduction
Oracle Golden Gate IntroductionOracle Golden Gate Introduction
Oracle Golden Gate Introduction
jenkin
?
Evaluacion estilo prueba saber 7° p1Evaluacion estilo prueba saber 7° p1
Evaluacion estilo prueba saber 7° p1
criollitoyque
?
E-Learning_2.0
E-Learning_2.0E-Learning_2.0
E-Learning_2.0
Rohit Mittal
?
BigData Analytics_1.7
BigData Analytics_1.7BigData Analytics_1.7
BigData Analytics_1.7
Rohit Mittal
?
Sun Oracle Exadata Technical Overview V1
Sun Oracle Exadata Technical Overview V1Sun Oracle Exadata Technical Overview V1
Sun Oracle Exadata Technical Overview V1
jenkin
?
SmartSEO - Ch??ng 1: T?ng quan v? SEO
SmartSEO - Ch??ng 1: T?ng quan v? SEOSmartSEO - Ch??ng 1: T?ng quan v? SEO
SmartSEO - Ch??ng 1: T?ng quan v? SEO
Hoàng Nguy?n
?
Tài Li?u Facebook Marketing Hoàng Nguy?n-Ch??ng 1: Tìm hi?u s?n ph?m
Tài Li?u Facebook Marketing Hoàng Nguy?n-Ch??ng 1: Tìm hi?u s?n ph?mTài Li?u Facebook Marketing Hoàng Nguy?n-Ch??ng 1: Tìm hi?u s?n ph?m
Tài Li?u Facebook Marketing Hoàng Nguy?n-Ch??ng 1: Tìm hi?u s?n ph?m
Hoàng Nguy?n
?
Tài Li?u Facebook Marketing Hoàng Nguy?n-7.Th?ng ?i?p qu?ng cáo
Tài Li?u Facebook Marketing Hoàng Nguy?n-7.Th?ng ?i?p qu?ng cáoTài Li?u Facebook Marketing Hoàng Nguy?n-7.Th?ng ?i?p qu?ng cáo
Tài Li?u Facebook Marketing Hoàng Nguy?n-7.Th?ng ?i?p qu?ng cáo
Hoàng Nguy?n
?
Tài Li?u Facebook Marketing Hoàng Nguy?n-4.L?p k? ho?ch Facebook
Tài Li?u Facebook Marketing Hoàng Nguy?n-4.L?p k? ho?ch FacebookTài Li?u Facebook Marketing Hoàng Nguy?n-4.L?p k? ho?ch Facebook
Tài Li?u Facebook Marketing Hoàng Nguy?n-4.L?p k? ho?ch Facebook
Hoàng Nguy?n
?
Tài Li?u Facebook Marketing Hoàng Nguy?n-3. KPIs và l?i ích c?a FB
Tài Li?u Facebook Marketing Hoàng Nguy?n-3. KPIs và l?i ích c?a FBTài Li?u Facebook Marketing Hoàng Nguy?n-3. KPIs và l?i ích c?a FB
Tài Li?u Facebook Marketing Hoàng Nguy?n-3. KPIs và l?i ích c?a FB
Hoàng Nguy?n
?
SINGLE CLIENT ACCESS NAME (SCAN)
SINGLE CLIENT ACCESS NAME (SCAN)SINGLE CLIENT ACCESS NAME (SCAN)
SINGLE CLIENT ACCESS NAME (SCAN)
jenkin
?
MatematicasMatematicas
Matematicas
criollitoyque
?
Urinary tract infections
Urinary tract infectionsUrinary tract infections
Urinary tract infections
Yohaimi Cosme Ayala
?
HANA overview
HANA overviewHANA overview
HANA overview
jenkin
?
Oracle Golden Gate Introduction
Oracle Golden Gate IntroductionOracle Golden Gate Introduction
Oracle Golden Gate Introduction
jenkin
?
Evaluacion estilo prueba saber 7° p1Evaluacion estilo prueba saber 7° p1
Evaluacion estilo prueba saber 7° p1
criollitoyque
?
E-Learning_2.0
E-Learning_2.0E-Learning_2.0
E-Learning_2.0
Rohit Mittal
?
BigData Analytics_1.7
BigData Analytics_1.7BigData Analytics_1.7
BigData Analytics_1.7
Rohit Mittal
?
Sun Oracle Exadata Technical Overview V1
Sun Oracle Exadata Technical Overview V1Sun Oracle Exadata Technical Overview V1
Sun Oracle Exadata Technical Overview V1
jenkin
?
SmartSEO - Ch??ng 1: T?ng quan v? SEO
SmartSEO - Ch??ng 1: T?ng quan v? SEOSmartSEO - Ch??ng 1: T?ng quan v? SEO
SmartSEO - Ch??ng 1: T?ng quan v? SEO
Hoàng Nguy?n
?
Tài Li?u Facebook Marketing Hoàng Nguy?n-Ch??ng 1: Tìm hi?u s?n ph?m
Tài Li?u Facebook Marketing Hoàng Nguy?n-Ch??ng 1: Tìm hi?u s?n ph?mTài Li?u Facebook Marketing Hoàng Nguy?n-Ch??ng 1: Tìm hi?u s?n ph?m
Tài Li?u Facebook Marketing Hoàng Nguy?n-Ch??ng 1: Tìm hi?u s?n ph?m
Hoàng Nguy?n
?
Tài Li?u Facebook Marketing Hoàng Nguy?n-7.Th?ng ?i?p qu?ng cáo
Tài Li?u Facebook Marketing Hoàng Nguy?n-7.Th?ng ?i?p qu?ng cáoTài Li?u Facebook Marketing Hoàng Nguy?n-7.Th?ng ?i?p qu?ng cáo
Tài Li?u Facebook Marketing Hoàng Nguy?n-7.Th?ng ?i?p qu?ng cáo
Hoàng Nguy?n
?
Tài Li?u Facebook Marketing Hoàng Nguy?n-4.L?p k? ho?ch Facebook
Tài Li?u Facebook Marketing Hoàng Nguy?n-4.L?p k? ho?ch FacebookTài Li?u Facebook Marketing Hoàng Nguy?n-4.L?p k? ho?ch Facebook
Tài Li?u Facebook Marketing Hoàng Nguy?n-4.L?p k? ho?ch Facebook
Hoàng Nguy?n
?
Tài Li?u Facebook Marketing Hoàng Nguy?n-3. KPIs và l?i ích c?a FB
Tài Li?u Facebook Marketing Hoàng Nguy?n-3. KPIs và l?i ích c?a FBTài Li?u Facebook Marketing Hoàng Nguy?n-3. KPIs và l?i ích c?a FB
Tài Li?u Facebook Marketing Hoàng Nguy?n-3. KPIs và l?i ích c?a FB
Hoàng Nguy?n
?

Similar to 翱谤补肠濒别数据库高级安全选件础厂翱介绍 (20)

翱谤补肠濒别10驳高级安全特性列加密技术
翱谤补肠濒别10驳高级安全特性列加密技术翱谤补肠濒别10驳高级安全特性列加密技术
翱谤补肠濒别10驳高级安全特性列加密技术
maclean liu
?
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
ChinaNetCloud
?
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多
ITband
?
王龙:百度数据库架构演变与设计
王龙:百度数据库架构演变与设计王龙:百度数据库架构演变与设计
王龙:百度数据库架构演变与设计
YANGL *
?
SC存储家族之厂颁4000系列 for CML Master Class ver1.1.pptx
SC存储家族之厂颁4000系列 for CML Master Class ver1.1.pptxSC存储家族之厂颁4000系列 for CML Master Class ver1.1.pptx
SC存储家族之厂颁4000系列 for CML Master Class ver1.1.pptx
WeiminChen11
?
翱谤补肠濒别北大青鸟完全教程
翱谤补肠濒别北大青鸟完全教程翱谤补肠濒别北大青鸟完全教程
翱谤补肠濒别北大青鸟完全教程
yiditushe
?
Accelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud eraAccelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud era
Junchi Zhang
?
云端的数据库
云端的数据库云端的数据库
云端的数据库
thinkinlamp
?
Essential oracle security internal for dba
Essential oracle security internal for dbaEssential oracle security internal for dba
Essential oracle security internal for dba
maclean liu
?
狈辞厂蚕尝误用和常见陷阱分析
狈辞厂蚕尝误用和常见陷阱分析狈辞厂蚕尝误用和常见陷阱分析
狈辞厂蚕尝误用和常见陷阱分析
iammutex
?
4, OCP - oracle networking
4, OCP - oracle networking4, OCP - oracle networking
4, OCP - oracle networking
ted-xu
?
础濒迟颈产补蝉别介绍
础濒迟颈产补蝉别介绍础濒迟颈产补蝉别介绍
础濒迟颈产补蝉别介绍
小新 制造
?
Pki guide v1.0a_aka
Pki guide v1.0a_akaPki guide v1.0a_aka
Pki guide v1.0a_aka
WASecurity
?
20141128(刘胜)鲍罢颁2014分布式和云服务的思考与实践——支付清算行业分布式架构的探索
20141128(刘胜)鲍罢颁2014分布式和云服务的思考与实践——支付清算行业分布式架构的探索20141128(刘胜)鲍罢颁2014分布式和云服务的思考与实践——支付清算行业分布式架构的探索
20141128(刘胜)鲍罢颁2014分布式和云服务的思考与实践——支付清算行业分布式架构的探索
liu sheng
?
Hacking Nginx at Taobao
Hacking Nginx at TaobaoHacking Nginx at Taobao
Hacking Nginx at Taobao
Joshua Zhu
?
淘宝商品库惭测厂蚕尝优化实践
淘宝商品库惭测厂蚕尝优化实践淘宝商品库惭测厂蚕尝优化实践
淘宝商品库惭测厂蚕尝优化实践
Feng Yu
?
浅谈电商网站数据访问层(DAL)与 ORM 之适用性
浅谈电商网站数据访问层(DAL)与 ORM 之适用性浅谈电商网站数据访问层(DAL)与 ORM 之适用性
浅谈电商网站数据访问层(DAL)与 ORM 之适用性
Xuefeng Zhang
?
Tair
TairTair
Tair
OpenSourceCamp
?
Oracle Security 101
Oracle Security 101Oracle Security 101
Oracle Security 101
Dahui Feng
?
Cdc@ganji.com
Cdc@ganji.comCdc@ganji.com
Cdc@ganji.com
Tailor Cai
?
翱谤补肠濒别10驳高级安全特性列加密技术
翱谤补肠濒别10驳高级安全特性列加密技术翱谤补肠濒别10驳高级安全特性列加密技术
翱谤补肠濒别10驳高级安全特性列加密技术
maclean liu
?
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
运维安全 抵抗黑客攻击_云络安全沙龙4月上海站主题分享
ChinaNetCloud
?
利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多利用统一存储获得无与伦比的速度,简化系统,并节省更多
利用统一存储获得无与伦比的速度,简化系统,并节省更多
ITband
?
王龙:百度数据库架构演变与设计
王龙:百度数据库架构演变与设计王龙:百度数据库架构演变与设计
王龙:百度数据库架构演变与设计
YANGL *
?
SC存储家族之厂颁4000系列 for CML Master Class ver1.1.pptx
SC存储家族之厂颁4000系列 for CML Master Class ver1.1.pptxSC存储家族之厂颁4000系列 for CML Master Class ver1.1.pptx
SC存储家族之厂颁4000系列 for CML Master Class ver1.1.pptx
WeiminChen11
?
翱谤补肠濒别北大青鸟完全教程
翱谤补肠濒别北大青鸟完全教程翱谤补肠濒别北大青鸟完全教程
翱谤补肠濒别北大青鸟完全教程
yiditushe
?
Accelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud eraAccelerate Database as a Service(DBaaS) in Cloud era
Accelerate Database as a Service(DBaaS) in Cloud era
Junchi Zhang
?
云端的数据库
云端的数据库云端的数据库
云端的数据库
thinkinlamp
?
Essential oracle security internal for dba
Essential oracle security internal for dbaEssential oracle security internal for dba
Essential oracle security internal for dba
maclean liu
?
狈辞厂蚕尝误用和常见陷阱分析
狈辞厂蚕尝误用和常见陷阱分析狈辞厂蚕尝误用和常见陷阱分析
狈辞厂蚕尝误用和常见陷阱分析
iammutex
?
4, OCP - oracle networking
4, OCP - oracle networking4, OCP - oracle networking
4, OCP - oracle networking
ted-xu
?
础濒迟颈产补蝉别介绍
础濒迟颈产补蝉别介绍础濒迟颈产补蝉别介绍
础濒迟颈产补蝉别介绍
小新 制造
?
Pki guide v1.0a_aka
Pki guide v1.0a_akaPki guide v1.0a_aka
Pki guide v1.0a_aka
WASecurity
?
20141128(刘胜)鲍罢颁2014分布式和云服务的思考与实践——支付清算行业分布式架构的探索
20141128(刘胜)鲍罢颁2014分布式和云服务的思考与实践——支付清算行业分布式架构的探索20141128(刘胜)鲍罢颁2014分布式和云服务的思考与实践——支付清算行业分布式架构的探索
20141128(刘胜)鲍罢颁2014分布式和云服务的思考与实践——支付清算行业分布式架构的探索
liu sheng
?
Hacking Nginx at Taobao
Hacking Nginx at TaobaoHacking Nginx at Taobao
Hacking Nginx at Taobao
Joshua Zhu
?
淘宝商品库惭测厂蚕尝优化实践
淘宝商品库惭测厂蚕尝优化实践淘宝商品库惭测厂蚕尝优化实践
淘宝商品库惭测厂蚕尝优化实践
Feng Yu
?
浅谈电商网站数据访问层(DAL)与 ORM 之适用性
浅谈电商网站数据访问层(DAL)与 ORM 之适用性浅谈电商网站数据访问层(DAL)与 ORM 之适用性
浅谈电商网站数据访问层(DAL)与 ORM 之适用性
Xuefeng Zhang
?
Tair
TairTair
Tair
OpenSourceCamp
?
Oracle Security 101
Oracle Security 101Oracle Security 101
Oracle Security 101
Dahui Feng
?
Cdc@ganji.com
Cdc@ganji.comCdc@ganji.com
Cdc@ganji.com
Tailor Cai
?

翱谤补肠濒别数据库高级安全选件础厂翱介绍

  • 1. <Insert Picture Here> Advanced Security Option 高级安全选件
  • 2. Oracle 数据库安全性 Data Masking 历经30多年的创新 TDE Tablespace Encryption Oracle Total Recall Oracle Audit Vault Oracle 10g Oracle Database Vault 透明数据加密 EM 配置扫描 细粒度审计 (9i) Oracle 9i 安全应用程序角色 客户端标识符 / 身份传播 Oracle Label Security (2000) 代理验证 Oracle 8i 公司用户安全性 全局角色 虚拟专用数据库 (8i) 数据库加密 API Oracle 7 强身份验证 (PKI, Kerberos, RADIUS) 原生网络加密 (Oracle7) 数据库审计 1977 政府客户 2010
  • 3. Oracle 数据库安全性 为实现安全性与合规性的“纵深防御” 加密与屏蔽 ? Oracle Advanced Security ? Oracle Secure Backup ? Oracle Data Masking 访问控制 ? Oracle Database Vault ? Oracle Label Security 监控 ? Oracle Audit Vault Encryption & Masking ? Oracle Configuration Management Access Control ? Oracle Total Recall Monitoring
  • 4. Oracle 高级安全性 动态和静态数据 Oracle 高级安全 强认证 应用服务器/客户端 Oracle高级安全 网络加密 数据读取 数据存盘 备份数据库 自动解密 自动加密 Oracle高级安全 透明数据加密 Redo apply redo logs 包含加密数据 备份文件数据加密
  • 5. Oracle Advanced Security 概览 ? 透明数据加密(TDE) – 无需应用修改 Strong – 表空间加密与列级加密 Authentication – 内置密钥管理 – 加密RMAB备份集和数据泵导出集 Network – 加密Oracle Securefiles (LOBS) Encryption ? 网络加密 – SSL/TLS – 本地 – 无证书要求 75000 ( ) ^#^*>* Encrypted Disks, Backups, ? 强验证 Exports – Kerberos, PKI , RADIUS
  • 6. Oracle Advanced Security TDE 列加密 ? Database 10g Release 2版本开始可用 – 推荐在版本10.2.0.4 及后续版本使用 – 新?nomac? 选项 (每个加密值可节省20个字节) ? 加密应用表中的敏感数据 – 信用卡号, SSN, 各类密码, … ? 密钥管理 – 每张表一个密钥 – 表密钥再用TDE主密钥进行加密– 2 级密钥架构
  • 7. 职责分离 Wallet 密码与 System 或 DBA 密码分开 无权访问wallet DBA 启动 Database 安全DBA 打开含有master key 的 wallet
  • 8. 主密钥和列密钥 主密钥加密列密钥 Master key存储于 PKCS#12 wallet 安全DBA 打开含有主密钥 的 wallet 列密钥 加密列中的数据
  • 9. TDE 列级加密 与Oracle Enterprise 惭补苍补驳别谤集成
  • 10. Oracle Advanced Security 加密列 ? 在现存的表中加密列: alter table credit_rating modify (person_id encrypt) ? 创建带有加密列的新表: create table orders ( order_id number (12), customer_id number(12), credit_card varchar2(16) encrypt); 注 – 缺省算法是 AES 192
  • 11. Oracle Advanced Security 列级加密性能 ? 使用索引同样查询以达到最优性能 Alter table credit_rating modify (PERSON_ID encrypt no salt) Create index person_id_idx on credit_rating (PERSON_ID) Select score from credit_rating where PERSON_ID='235901'; ? 在加密列上的范围扫描不能使用索引 ? 在数百万行的表上成功运行大量卡类处理业务
  • 12. Transparent Data Encryption 透明数据加密 列级加密部署步骤 确认具有敏感信息的字段 1 Credit Card numbers, SSN … TDE是否支持该数据类型? 2 TDE supports datatypes most commonly used for PII data 3 字段是否正好是外键或范围扫描索引的一部分? Simple Data Dictionary Query 4 加密现存和新数据 EM, SQL*Developer GUI or Command line DDL, Alter Table….. 访问OTN可获得完整数据类型的列表和更多信息
  • 13. LAB
  • 14. Oracle Advanced Security 表空间加密 ? 加密所有类型应用数据 SQL Layer – 加密整个表空间 – 无需确认特定字段 Buffer Cache – 在数据类型,索引查询或外键上无限制 “SSN = 987-65-..” ? 高性能 – 无额外存储开销 – 高性能 (平均~ 5%) – 与Oracle高级压缩配合使用 – 数据块在被 压缩前被压缩 data blocks “*M$b@^s%&d7” ? 应用无须修改 – 支持所有数据类型 undo temp blocks blocks – 支持索引范围扫描 redo flashback logs logs
  • 15. Oracle Advanced Security 不同版本的不同特性 Oracle Oracle Oracle Oracle Database 9i Database 10g Database 11g Database 11g Release 2 Release 2 Release 1 Release 2 TDE with Exadata TDE 使用HSM表空间加密 TDE 表空间加密 TDE 针对SecureFiles列级加密 TDE 使用HSM列级加密 TDE 列级加密 网络加密 强验证
  • 16. Oracle Advanced Security TDE可用于数据泵和RMAN ? Oracle Data Pump 数据泵 – 批量导出/导入到操作系统文件中 – 使用ENCRYPTION参数来加密dump文件 – 数据泵expdp命令可使用一个密码或ASO中更安全的主密钥来加密 数据 ? Oracle RMAN – 用于数据备份和恢复 ? 使用自身主密钥或密码来加密导出集或备份集 ? RMAN和数据泵可同时压缩和加密
  • 17. Oracle Advanced Security 透明数据加密的密钥管理 ? 内置密钥的生命周期管理 – 产生, 存储, 转换和销毁主密钥 – 软件wallet钱包 或 HSM存储密钥 ? 硬件安全模块 (HSM): – 特殊目的的硬件 – 开放的PKCS#11接口使得Oracle用户可广泛选择各类HSM提供商 Open Master Key Master Key Security DBA
  • 18. Oracle Advanced Security 加密非结构性数据 ? Oracle SecureFiles数据类型 – Oracle数据库11g中新的非结构性数据类型 – 与LOB数据类型类似,但更快且功能更多 – 与本地文件系统相比,非结构性数据可以更快且更安全维护 ? 使用透明数据加密来保护 – 对存储在数据库中的非结构性数据,提供额外保护 – 加密整个表空间或单独的SecureFile字段 – 可用于DICOM影像和财务合同扫描件
  • 20. Oracle Advanced Security 对表空间加密 ? 使用关键字“Encrypt”,创建新表空间 CREATE TABLESPACE securespace2 DATAFILE '/home/user/oradata/secure01.dbf' SIZE 150M ENCRYPTION DEFAULT STORAGE(ENCRYPT); 注 – 缺省算法是 AES 128
  • 21. LAB
  • 22. 表空间加密 架构 SQL Layer ? 数据库级别加密 – 在I/O期间加密/解密数据块 Buffer Cache – 数据块在缓冲区被解密以应对频繁访问 “SSN = 834-63-..” ? 磁盘上不保存明文数据 – 回滚块 – 排序/连接的临时块 – 重做日志 data blocks – 闪回日志 “*M$b@^s%&d7” ? 与TDE密钥管理集成 undo temp blocks blocks redo logs flashback logs
  • 23. 表空间数据加密深入 ? 11g中新的基于块级别静态数据加密技术, 写时加密,读时解密 ? 数据在I/O(块)级别进行加密解密,而不是在内存中 (与列级TDE不同,它是在服务进程的PGA中进行加密) ? 加密仅对I/O不利, 因此加密性能上开销比列级TDE好 ? SQL访问路径不会改变 (然而会被CBO识别为需要一些开销) ? 加密算法 – AES128, AES192, AES256, 3DES168 (缺省AES128) – 使用CFB (cipher feedback) 模式来保持空间 ? 每个表空间/日志文件有唯一密钥 ? 表空间和日志文件的密钥,由Wallet钱包里的主密钥保护 (使用AES256)
  • 24. 表空间数据加密 密钥管理 ? 与列级TDE使用方式一样,主密钥由外部Wallet钱包维护 ? 每个表空间有一个加密密钥,物理存放在数据文件的头部 数据块里 ? 对跨越多个数据文件的加密表空间来说,表空间密钥冗余 存放在每个数据文件的头部 ? 主密钥用来解密表空间的密钥 ? 主密钥也可像列级TDE一样进行转换 (如 ALTER SYSTEM SET ENCRYPTION KEY 命令) ? 目前不能重置表空间加密密钥 – 可选方式是创建新的加密表空间,再将数据从原有表空间移动过来 ? 11gR2中主密钥得到统一(创建 保存 转换)
  • 25. 如何将已有表空间转换为加密表空间 ? 没有ALTER TABLESPACE命令,来自动转换未加密表 空间成加密表空间 ? 进行转换的步骤: – 备份原先未加密的表空间 (非常重要!). – 使用加密选项来创建新表空间 – 从原先表空间移动对象到新的加密表空间 (确保重建任何失效的索引) – 删除原先的表空间 – 如果需要的话将新表空间更名为原先表空间的名称
  • 26. 分区表与加密表空间 ? 一个分区表可以是: – 所有分区在同一个加密表空间里 – 部分分区在不同的加密表空间里 – 部分分区在未加密的表空间,部分表空间在加密的表空间里 ? 检查DBA_TAB_PARTITIONS 视图查看详情 TABLE_NAME PARTITION_NAME TABLESPACE_NAME ENC -------------------- -------------------- -------------------- --- SALES_LIST SALES_WEST DATA02 NO SALES_LIST SALES_CENTRAL DATA03_ENC YES
  • 27. 索引使用 – 揭示事实 ? 每一个索引叶子键和rowid相关 – File#, Block#, Row Offset ? 索引键进入SGA时被解密 ? Rowid提供给服务器进程表中数据的位置, 然后表数据 块进入SGA时被解密 ? 因此索引仍旧会被CBO使用,而不论索引是否和表在同 一个加密表空间里,或不同加密表空间里,亦或是未加密 的表空间里
  • 28. Transparent Data Encryption透明数据加密 表空间还是列级加密? ? 以下情况使用表空间加密: – 很难确认所有的敏感数据 – 想加密大量数据 – 想使用索引范围扫描 – 需要使用传输表空间功能 ? 以下情况使用列级加密: – 仅想加密少数字段 – 基于HSM来管理密钥 – 更容易重置表密钥和主密钥 ? 两种技术可在同一数据库中共用
  • 29. Oracle Advanced Security 网络加密和强验证 ? 加密和数据库的所有通信 – AES (128, 192, 256 bit keys) – RSA RC4 (128, 256-bit keys) – 3DES (2 and 3 key) – Diffie-Hellman key exchange ? 基于校验实现数据完整性 – SHA-1 – 自动侦测修改,重放和丢包 ? 强验证 – Kerberos, PKI – RADIUS
  • 30. LAB
  • 31. Oracle Advanced Security 总结主要的功能点 TDE TDE Tablespace Column Encryption Encryption Hardware Security Module Strong Network Authentication Encryption Master Key Oracle Wallet Encrypted Exports RMAN / TDE Fully Encrypted Database Backups to Disk
  • 32. Q&A
AboutCopyright
? 2025 狠狠撸