28.访问控制中的授权是用来( )

**解析：** 在信息安全与访问控制体系中，**授权（Authorization）** 是指系统根据安全策略，决定已认证的用户或主体对特定资源（如文件、数据库、应用程序等）拥有什么样的操作权限（如读、写、执行、删除等）。 * **A项正确**：授权的核心目的正是为了**限制用户对资源的访问权限**，确保用户只能访问其被允许访问的资源，且只能进行被允许的操作，从而保护数据的机密性、完整性和可用性。 * **B项错误**：“控制用户可否上网”通常属于网络接入控制或防火墙策略的范畴，虽然涉及权限，但不是授权这一概念在访问控制模型中的核心定义。 * **C项错误**：“控制操作系统是否可以启动”属于物理安全或底层引导安全（如BIOS密码、Secure Boot）的范畴，不属于常规应用层面的访问控制授权。 * **D项错误**：“控制是否有收发邮件的权限”是授权的一个具体应用场景（即对邮件服务资源的访问控制），但授权的概念远比此广泛，涵盖所有类型的资源访问，因此该选项以偏概全，不如A项准确和全面。 综上所述，授权的本质是对资源访问权限的管理和限制，故正确答案为 **A**。