普通的安全性和審計是被動的作法，而一個全面的審計方法是要求實時報告試圖繞過安全性檢查的行為。記住，明智的公司會關閉所有後門資料訪問(如，ODBC)，並在應用層強化資料訪問。然而，我們仍然必須建立一個告警機制來監視所有層次的資料訪問活動，不管是惡意的還是正常的。例如，一個Oracle DBA通常需要檢視資料庫資訊，這是他們管理的職責部分，而Federal法案規定這種資料訪問必須進行與應用層相同的跟蹤。

[@more@]

“特權使用者”訪問問題表示的是一個嚴重的安全暴露。因為審計方案必須審計Systems Administrators和Oracle DBA的訪問，這些員工必須不能有任何審計機制的控制或職責。

這種分離的職責是非常重要的，因為給予任何負責維護伺服器和資料庫的人員管轄權力都被認為是不正當行為。許多情況下，有不滿情緒的員工可能會檢視保密資訊作為個人用途，並且有時會使用一些方法來在他們離職後暴露這些資訊。

有一些專業的Oracle審計工具可以審計DBA和其它特權使用者，但是它們可能很昂貴且很難管理。

Oracle安全和政府規定

Oracle部門屬於一些Federal隱私法案規定範圍，如HIPAA要求僱傭一個獨立於SA和DBA員工之外的全職員工來控制Oracle安全分析師的審計。

Oracle安全分析師必須具有每個單位唯一的技術、應用和管理技能。例如，大型醫療公司通常會僱傭一名Medical Informatacist作為SPA，通常是一名經過高階培訓的Medical Doctor (MD)，具有應用設計、系統架構、系統管理和資料管理的技能。財務機構會僱傭一名有豐富技術背景的Certified Public Accountant (CPA)。

總之，審計收集、加強和報告必須一個單獨的IT實體負責，僅僅負責管理所有資料隱私審計。任何應用層的外部訪問都必須向安全管理員傳送警報，不管是惡意或是常規DBA職責部分。

這是一個糟糕的討論，但是現在你不能信任任何人，並且Oracle管理員必須解決允許他們特權Oralce員工擁有完全訪問關係他們業務生存的資料的許可權所帶來的問題。

在2009年IOUG安全性調查是顯示，Oracle部門要麼正在安裝複雜的安全性工具來審計他們的特權員工，要麼使用背景檢查或信任的遠端DBA支援提供商來進行適當的保護，以免受內部資料庫安全威脅的攻擊。