普通的安全性和審計是被動的作法，而一個全面的審計方法是要求實時報告試圖繞過安全性檢查的行為。記住，明智的公司會關(guān)閉所有后門數(shù)據(jù)訪問(如，ODBC)，并在應(yīng)用層強(qiáng)化數(shù)據(jù)訪問。然而，我們?nèi)匀槐仨殑?chuàng)建一個告警機(jī)制來監(jiān)視所有層次的數(shù)據(jù)訪問活動，不管是惡意的還是正常的。例如，一個Oracle DBA通常需要查看數(shù)據(jù)庫信息，這是他們管理的職責(zé)部分，而Federal法案規(guī)定這種數(shù)據(jù)訪問必須進(jìn)行與應(yīng)用層相同的跟蹤。

　　“特權(quán)用戶”訪問問題表示的是一個嚴(yán)重的安全暴露。因為審計方案必須審計Systems Administrators和Oracle DBA的訪問，這些員工必須不能有任何審計機(jī)制的控制或職責(zé)。

　　這種分離的職責(zé)是非常重要的，因為給予任何負(fù)責(zé)維護(hù)服務(wù)器和數(shù)據(jù)庫的人員管轄權(quán)力都被認(rèn)為是不正當(dāng)行為。許多情況下，有不滿情緒的員工可能會查看保密信息作為個人用途，并且有時會使用一些方法來在他們離職后暴露這些信息。

　　有一些專業(yè)的Oracle審計工具可以審計DBA和其它特權(quán)用戶，但是它們可能很昂貴且很難管理。

　　Oracle安全和政府規(guī)定

　　Oracle部門屬于一些Federal隱私法案規(guī)定范圍，如HIPAA要求雇傭一個獨立于SA和DBA員工之外的全職員工來控制Oracle安全分析師的審計。

　　Oracle安全分析師必須具有每個單位唯一的技術(shù)、應(yīng)用和管理技能。例如，大型醫(yī)療公司通常會雇傭一名Medical Informatacist作為SPA，通常是一名經(jīng)過高級培訓(xùn)的Medical Doctor (MD)，具有應(yīng)用設(shè)計、系統(tǒng)架構(gòu)、系統(tǒng)管理和數(shù)據(jù)管理的技能。財務(wù)機(jī)構(gòu)會雇傭一名有豐富技術(shù)背景的Certified Public Accountant (CPA)。

　　總之，審計收集、加強(qiáng)和報告必須一個單獨的IT實體負(fù)責(zé)，僅僅負(fù)責(zé)管理所有數(shù)據(jù)隱私審計。任何應(yīng)用層的外部訪問都必須向安全管理員發(fā)送警報，不管是惡意或是常規(guī)DBA職責(zé)部分。

　　這是一個糟糕的討論，但是現(xiàn)在你不能信任任何人，并且Oracle管理員必須解決允許他們特權(quán)Oralce員工擁有完全訪問關(guān)系他們業(yè)務(wù)生存的數(shù)據(jù)的權(quán)限所帶來的問題。

　　在2009年IOUG安全性調(diào)查是顯示，Oracle部門要么正在安裝復(fù)雜的安全性工具來審計他們的特權(quán)員工，要么使用背景檢查或信任的遠(yuǎn)程DBA支持提供商來進(jìn)行適當(dāng)?shù)谋Ｗo(hù)，以免受內(nèi)部數(shù)據(jù)庫安全威脅的攻擊。