我们能有哪些作为？
    假设你能够使用大多数数据库开发商所提供的工具，而去不用那些专门的为解决上述问题的产品，你能做些什么呢？
大多数管理者都担心以下问题：
 内部控制如何有效
 未授权使用如何检测
 存储访问如何控制和验证
 系统维护如何执行
 信息如何提供给独立审查部门

    要想让内部控制发挥作用，这就意味你要查看操作记录，要有一个指定的磁盘空间，并且还要有一些规则和手续，来减少存在的风险。审查者将会根据这些记录、规则、手续这些有效的措施来决定是否有违规操作。这些有效的措施包括以下几条，但是并不局限于此：
 开展审查工作，确保审查日志文件安全，检查审查记录
 能够追踪用户帐号，确保帐号密码时效性没有过期
 经认可在适当的时候改变管理系统
 追踪时间，因为在故障时间，会有未授权而试图操纵系统
 对需要保护的数据需要有备份和灾难恢复

    进行系统维护包括确保安装了所有的修补程序。通常来说，关于安全的修补程序必须尽快安装，对于那些需要重启的修补程序需要有计划的安装。其他的修补程序应该进行检查和评估， 决定什么时候应该安装。
为独立的审查部门做准备工作，就意味必须有方法可循，审查者能够遵循什么程序来执行。举个例子，贵公司规定员工在离开公司之时访问记录必须被删除。那么审查者浏览查找人力资系统，选择一个员工，在与员工离开相匹配的时间删除该员工的数据库访问记录。

    至于DBA为了自保，有几件事情可以做。举个例子，你可以尽可能的细分应用程序，每个子应用程序有各自的登录名，删除具有访问整个系统的帐号。这样一来，即使有问题，也只是局部受到影响。另外，确保你的操作能够追溯的到，这些操作是经过认可的，或者是系统需要的操作。

来自一家美国西南地区医疗公司的受采访者说：
    “很幸运的是，我们公司主要的OE、工资系统、SAP和VIRSA工具运行良好。IT部门有一套手续来处理新员工和终端访问权限问题。DBA小组为密码截止时间和复杂度开发了自动计算过程。没有人能够直接连接数据库和数据访问工具。在涉及财务往来的系统我们安排了专门负责安全的角色，另外有LDAP集成，各种应用程序安全进行组合。”

他推荐的建议如下：
• 在购买之前挑选一个好的产品，满足SOX认证
• 确保他们提供强大的数据管理工具
• 确保产品有很高的安全级别和审查功能
• 授权前确保你执行的是一个安全，大家都认可的手续。
• 确定企业主才是安全角色，授权需要有企业主的签名
• 不要将Oracle DBMS安全作为唯一的防线