授权应基于( )和权限分离的原则。

这道题考查的是信息安全与访问控制中的核心原则。 **正确答案：C、权限最小化** ### 解析： 1. **核心原则定义**： * **最小权限原则（Principle of Least Privilege, PoLP）**：指主体（用户、进程或系统组件）只应拥有完成其任务所必需的**最小**权限集合，而不应该拥有任何多余的权限。这是授权管理中最基本且最重要的安全原则之一。 * **权限分离原则（Separation of Privileges/Duties）**：指将关键操作或敏感权限分散给不同的主体，防止单一主体拥有过大的权力从而造成安全隐患或滥用。 2. **选项分析**： * **A. 权限隔离**：虽然隔离是安全手段之一（如网络隔离、沙箱隔离），但它通常不是与“权限分离”并列作为授权基础的核心原则术语。授权的基石通常指的是“最小化”。 * **B. 权限最大化**：这与安全原则背道而驰。赋予用户最大权限会极大地增加系统被攻击或误操作的风险，是安全设计的大忌。 * **C. 权限最小化**：符合上述“最小权限原则”。授权应当基于“需要什么给什么”，即最小化原则，结合权限分离原则，共同构成安全的访问控制基础。 * **D. 权限最优化**：“最优化”是一个模糊的概念，在信息安全标准术语中，没有“权限最优化”这一标准原则。 3. **结论**： 授权机制的设计必须遵循**权限最小化**（确保用户仅拥有必要权限）和**权限分离**（防止权力集中）两大原则，以最大限度地降低安全风险。因此，选项 C 正确。