26. 關於存取控制技術的描述，下列何者錯誤？
(A) 任意型存取控制(Discretionary Access Control,DAC)是主體存取客體之權限由擁有者設定
(B) 強制型存取控制(Mandatory Access Control, MAC)是依照主體與客體之分類標籤(ClassificationLabel)給予權限，即使是管理者也無法給予特別權限
(C) 角色為基礎的存取控制(Role-Based Access Control,RBAC)使用角色(Role)來管理權限，對於使用者位於同一個單位或執行相關的工作十分方便有效
(D) 基於屬性的存取控制(Attribute Based AccessControl, ABAC)僅能透過單一屬性設定存取控制來達到安全的管控

關於存取控制技術的描述，我們來逐一分析每個選項：

• (A) 任意型存取控制 (Discretionary Access Control, DAC) 是主體存取客體之權限由擁有者設定

  • 正確。 DAC 的核心特點就是資源的擁有者（或建立者）可以自由地授予或撤銷其他主體（例如使用者或群組）對其資源的存取權限。這提供了高度的靈活性，但也可能導致權限管理複雜和潛在的安全漏洞，因為擁有者可能不慎授予過多的權限。

• (B) 強制型存取控制 (Mandatory Access Control, MAC) 是依照主體與客體之分類標籤 (Classification Label) 給予權限，即使是管理者也無法給予特別權限

  • 正確。 MAC 是一種更為嚴格的存取控制模型，系統會根據預先定義的安全性策略（通常涉及主體和客體的安全級別或分類標籤）來強制執行存取權限。權限的授予不是由擁有者決定的，而是由系統管理員或安全策略決定。在這種模型下，即使是普通管理者也無法隨意修改存取權限，因為這是基於系統級別的安全策略。它的設計目標是防止資訊洩漏，常見於高安全需求的環境，如軍事或政府系統。

• (C) 角色為基礎的存取控制 (Role-Based Access Control, RBAC) 使用角色 (Role) 來管理權限，對於使用者位於同一個單位或執行相關的工作十分方便有效

  • 正確。 RBAC 是一種非常流行且廣泛使用的存取控制模型。它將權限授予「角色」，而不是直接授予「使用者」。使用者被分配到一個或多個角色，從而繼承該角色所擁有的權限。當使用者屬於同一個部門或執行相似的職責時，將他們分配到相同的角色可以大大簡化權限管理，提高效率和一致性。

• (D) 基於屬性的存取控制 (Attribute Based Access Control, ABAC) 僅能透過單一屬性設定存取控制來達到安全的管控

  • 錯誤。 ABAC 是最靈活且粒度最細的存取控制模型。它允許根據多個屬性（例如，使用者屬性、資源屬性、環境屬性、操作屬性）的組合來定義和評估存取規則。這些屬性可以是任意數量和任意類型的，例如：
    • 使用者屬性： 使用者的部門、職位、地點、安全清除等級等。
    • 資源屬性： 檔案的敏感度、類型、擁有者、建立日期等。
    • 環境屬性： 存取時間、裝置類型、IP 位址等。
    • 操作屬性： 讀取、寫入、修改、刪除等。
  • ABAC 的強大之處在於它不限於單一屬性，而是可以根據多個屬性的複雜邏輯關係來動態決定存取權限。因此，聲稱它「僅能透過單一屬性設定存取控制」是錯誤的。