普通的安全性和審計(jì)是被動(dòng)的作法，而一個(gè)全面的審計(jì)方法是要求實(shí)時(shí)報(bào)告試圖繞過(guò)安全性檢查的行為。記住，明智的公司會(huì)關(guān)閉所有后門數(shù)據(jù)訪問(wèn)(如，ODBC)，并在應(yīng)用層強(qiáng)化數(shù)據(jù)訪問(wèn)。然而，我們?nèi)匀槐仨殑?chuàng)建一個(gè)告警機(jī)制來(lái)監(jiān)視所有層次的數(shù)據(jù)訪問(wèn)活動(dòng)，不管是惡意的還是正常的。例如，一個(gè)Oracle DBA通常需要查看數(shù)據(jù)庫(kù)信息，這是他們管理的職責(zé)部分，而Federal法案規(guī)定這種數(shù)據(jù)訪問(wèn)必須進(jìn)行與應(yīng)用層相同的跟蹤。

　　“特權(quán)用戶”訪問(wèn)問(wèn)題表示的是一個(gè)嚴(yán)重的安全暴露。因?yàn)閷徲?jì)方案必須審計(jì)Systems Administrators和Oracle DBA的訪問(wèn)，這些員工必須不能有任何審計(jì)機(jī)制的控制或職責(zé)。

　　這種分離的職責(zé)是非常重要的，因?yàn)榻o予任何負(fù)責(zé)維護(hù)服務(wù)器和數(shù)據(jù)庫(kù)的人員管轄權(quán)力都被認(rèn)為是不正當(dāng)行為。許多情況下，有不滿情緒的員工可能會(huì)查看保密信息作為個(gè)人用途，并且有時(shí)會(huì)使用一些方法來(lái)在他們離職后暴露這些信息。

　　有一些專業(yè)的Oracle審計(jì)工具可以審計(jì)DBA和其它特權(quán)用戶，但是它們可能很昂貴且很難管理。

　　Oracle安全和政府規(guī)定

　　Oracle部門屬于一些Federal隱私法案規(guī)定范圍，如HIPAA要求雇傭一個(gè)獨(dú)立于SA和DBA員工之外的全職員工來(lái)控制Oracle安全分析師的審計(jì)。

　　Oracle安全分析師必須具有每個(gè)單位唯一的技術(shù)、應(yīng)用和管理技能。例如，大型醫(yī)療公司通常會(huì)雇傭一名Medical Informatacist作為SPA，通常是一名經(jīng)過(guò)高級(jí)培訓(xùn)的Medical Doctor (MD)，具有應(yīng)用設(shè)計(jì)、系統(tǒng)架構(gòu)、系統(tǒng)管理和數(shù)據(jù)管理的技能。財(cái)務(wù)機(jī)構(gòu)會(huì)雇傭一名有豐富技術(shù)背景的Certified Public Accountant (CPA)。

　　總之，審計(jì)收集、加強(qiáng)和報(bào)告必須一個(gè)單獨(dú)的IT實(shí)體負(fù)責(zé)，僅僅負(fù)責(zé)管理所有數(shù)據(jù)隱私審計(jì)。任何應(yīng)用層的外部訪問(wèn)都必須向安全管理員發(fā)送警報(bào)，不管是惡意或是常規(guī)DBA職責(zé)部分。

　　這是一個(gè)糟糕的討論，但是現(xiàn)在你不能信任任何人，并且Oracle管理員必須解決允許他們特權(quán)Oralce員工擁有完全訪問(wèn)關(guān)系他們業(yè)務(wù)生存的數(shù)據(jù)的權(quán)限所帶來(lái)的問(wèn)題。

　　在2009年IOUG安全性調(diào)查是顯示，Oracle部門要么正在安裝復(fù)雜的安全性工具來(lái)審計(jì)他們的特權(quán)員工，要么使用背景檢查或信任的遠(yuǎn)程DBA支持提供商來(lái)進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，以免受內(nèi)部數(shù)據(jù)庫(kù)安全威脅的攻擊。