授权应基于权限最小化和权限分离的原则。

**解析：** 这句话是**正确**的。在信息安全管理和访问控制领域，**权限最小化**（Least Privilege）和**权限分离**（Separation of Duties/Privileges）是两个核心且基础的原则。 1. **权限最小化原则**： * **含义**：指主体（如用户、进程或系统组件）只应拥有完成其任务所必需的**最小**权限集合，而不应该拥有任何多余的权限。 * **目的**：限制潜在的安全风险。如果某个账户被攻击者窃取或某个程序出现漏洞，由于权限受限，攻击者能造成的破坏范围也被限制在最小范围内，从而防止横向移动或提权攻击。 2. **权限分离原则**： * **含义**：指将关键的任务或操作分解为多个部分，由不同的人员或系统组件分别执行，没有任何单一实体拥有完成整个敏感操作所需的全部权限。例如，发起付款的人和批准付款的人不能是同一人；或者系统管理员不能同时兼任安全审计员。 * **目的**：防止欺诈、错误滥用权力以及单点故障。通过相互制衡，降低内部威胁的风险，并确保操作的合规性和可追溯性。 综上所述，授权机制的设计确实应当严格遵循这两个原则，以构建更安全、可控的信息系统环境。因此，题干表述正确。