28.访问控制中的授权是用来( )

**解析：** 在计算机安全体系中，访问控制通常包含两个核心步骤：**认证（Authentication）**和**授权（Authorization）**。 1. **认证**是确认用户身份的过程（即“你是谁”）。 2. **授权**是在认证通过后，决定该用户拥有哪些具体权限的过程（即“你能做什么”）。 **选项分析：** * **A. 限制用户对资源的访问权限**：这是授权的核心定义。授权机制根据安全策略，规定主体（用户或进程）对客体（资源、文件、数据等）可以进行的操作（如读、写、执行等），从而实现对资源访问权限的限制和管理。**故 A 正确。** * **B. 控制用户可否上网**：这属于网络访问控制或防火墙策略的一部分，虽然涉及权限，但只是授权的一个具体应用场景，不能概括授权的全部含义。 * **C. 控制操作系统是否可以启动**：这通常涉及硬件安全、BIOS/UEFI 设置或引导加载程序的安全机制，不属于常规意义上的应用层或系统层访问控制中的“授权”概念。 * **D. 控制是否有收发邮件的权限**：这同样是授权的一个具体应用实例（对邮件服务的访问权限），过于片面，不能作为授权的通用定义。 因此，授权的根本目的是**限制用户对资源的访问权限**，确保只有合法的用户才能以允许的方式访问特定的资源。 **正确答案：A**