對通路控制中"最小特權原則"的了解

　　在網上看到許多資料介紹通路控制中的一個基本原則“最小特權原則”是“在需要時才給使用者配置設定所需的權限”，感覺這樣如果從字面了解的會産生歧義，如果不在授權時為操作者指派特定的權限，那麼在操作者對某個資源進行操作時才根據該通路規則對該操作者指派對該資源的操作權限話。這就暗示着該操作者擁有對系統中所有資源的通路權限。舉個例子，某個公司新招聘了個員工N，hr把他帶到各個部門轉了一圈，并沒有為他安排工作崗位，隻是說：“大家以後就是同僚了。”。誰都不知道他是幹嘛的。在一個項目中開發工程中，A完成了一個零部件的設計，完成後送出稽核。就N閑着，他拿到圖紙進行稽核，完了簽上大名。送出給工藝，轉到工藝部，看到工藝部都在忙，順便又簽上大名……，一路下來，都是他的大名。閑得無聊，在公司轉了一大圈，他是看到什麼做什麼，誰都不知道是做什麼的，也不知道他的職位高低。他充當了革命的螺絲釘，哪裡需要哪裡鑽。要是哪天老闆不在，他說不定把老闆要做事都做了。 　　 　　自己對“最小特權原則”了解是，一定要在操作者在操作以前為他指派權限。這樣就定義了操作者的權限邊界，當操作者要對某個資源進行操作時，系統會在他的權限邊界内比對是否有對該資源的操作權限，有就可以讓他進行操作，沒有就拒絕。這就象現實中，必須為員工安排工作崗位，限定他的工作職責範圍。