30. 關於最小權限(Least Privilege)原則的描述,下列何項描述最 為適切?
(A) 應授予所有使用者系統管理員權限,以提高效率
(B) 應根據使用者在組織階層中的級別來授予權限
(C) 所有使用者應享有相同的權限,以確保公平
(D) 僅授予使用者完成其工作所必需的最低權限

答案:登入後查看
統計: A(0), B(10), C(0), D(55), E(0) #3671716

詳解 (共 1 筆)

#7148871

這題的正確答案是 (D) 僅授予使用者完成其工作所必需的最低權限

 

解析

 

最小權限原則 (Principle of Least Privilege, PoLP) 是資訊安全中的核心概念。

  • 定義: 系統中的每個主體(使用者、程式或行程)應該只能存取其「完成任務所需」的資訊或資源,而且只能在「需要的時間內」擁有這些權限。

  • 目的:

    1. 降低損害範圍: 如果帳號被駭客入侵,駭客只能獲得該帳號擁有的最低權限,無法掌控整個系統。

    2. 避免誤操作: 防止使用者因擁有過高權限而不小心刪除或修改重要資料。

 

選項分析

 

  • (A) 錯誤: 給予所有人管理員權限雖然方便,但會造成極大的安全漏洞,一旦單一帳號被攻破,整個系統都會淪陷。

  • (B) 錯誤: 權限應基於「職務需求 (Role-Based)」而非單純的「職位高低」。高階主管若無管理系統需求,也不應擁有系統管理員權限。

  • (C) 錯誤: 權限配置是為了資安管控,與公平性無關。不同職位本就需要不同的存取範圍。

  • (D) 正確: 這正是最小權限原則的精隨——「剛好夠用就好」。

 

0
0