普通的安全性和审计是被动的作法而一个全面的审计方法是要求实时报告试图绕过安全性检查的行为记住明智的公司会关闭所有后门数据访问(如ODBC)并在应用层强化数据访问然而我们仍然必须创建一个告警机制来监视所有层次的数据访问活动不管是恶意的还是正常的例如一个Oracle DBA通常需要查看数据库信息这是他们管理的职责部分而Federal法案规定这种数据访问必须进行与应用层相同的跟蹤
特权用户访问问题表示的是一个严重的安全暴露因为审计方案必须审计Systems Administrators和Oracle DBA的访问这些员工必须不能有任何审计机制的控制或职责
这种分离的职责是非常重要的因为给予任何负责维护服务器和数据库的人员管辖权力都被认为是不正当行为许多情况下有不满情绪的员工可能会查看保密信息作为个人用途并且有时会使用一些方法来在他们离职后暴露这些信息
有一些专业的Oracle审计工具可以审计DBA和其它特权用户但是它们可能很昂贵且很难管理
Oracle安全和政府规定
Oracle部门属于一些Federal隐私法案规定范围如HIPAA要求雇佣一个独立于SA和DBA员工之外的全职员工来控制Oracle安全分析师的审计
Oracle安全分析师必须具有每个单位唯一的技术应用和管理技能例如大型医疗公司通常会雇佣一名Medical Informatacist作为SPA通常是一名经过高级培训的Medical Doctor (MD)具有应用设计系统架构系统管理和数据管理的技能财务机构会雇佣一名有丰富技术背景的Certified Public Accountant (CPA)
总之审计收集加强和报告必须一个单独的IT实体负责仅仅负责管理所有数据隐私审计任何应用层的外部访问都必须向安全管理员发送警报不管是恶意或是常规DBA职责部分
这是一个糟糕的讨论但是现在你不能信任任何人并且Oracle管理员必须解决允许他们特权Oralce员工拥有完全访问关系他们业务生存的数据的权限所带来的问题
在年IOUG安全性调查是显示Oracle部门要么正在安装复杂的安全性工具来审计他们的特权员工要么使用背景检查或信任的远程DBA支持提供商来进行适当的保护以免受内部数据库安全威胁的攻击
