跳轉到主要內容
類別: 原則
類型: 安全與系統設計原則
來源: 計算機安全與作業系統研究,1970 年代由 Saltzer 與 Schroeder 系統提出
別名: PoLP、最小必要存取
快速回答最小權限原則(Principle of Least Privilege)強調:使用者、服務與程序只應取得完成當前任務所需的最小權限,不多給、不長給。這能顯著降低入侵擴散、誤操作破壞與權限濫用造成的系統性風險。

什麼是最小權限原則?

最小權限原則(Principle of Least Privilege)是一條存取控制規則:任何主體的權限都應限制在「完成合法任務所需的最小集合」。
真正有韌性的系統,不是靠完全不出錯,而是靠錯誤發生時仍能把影響範圍控制在最小。
最小權限同時防範兩類風險:攻擊者取得帳號後的橫向移動,以及正常人員在高權限環境下的高影響誤操作。實務上,它常與關注點分離快速失敗原則可逆性原則一起構成高可靠操作框架。

最小權限原則的三層理解

  • 入門:只給完成今日工作真正需要的權限。
  • 實踐:建立角色授權、審批流程與週期性權限盤點。
  • 進階:導入即時授權、細粒度策略引擎與持續權限監測。

起源

最小權限原則在 1970 年代經典安全設計研究中被明確提出,核心目的在縮小攻擊面並限制失效擴散。其後在企業系統實務中逐步從主機權限管理擴展到身分治理與雲端政策控制。 當系統走向分散式與多雲架構,權限不再只是帳號設定,而是涉及策略定義、憑證生命週期、審計與回收的整體治理能力。NIST 等安全框架也長期將「最小必要存取」視為基礎控制目標。 此原則最重要的價值是架構性:權限邊界設計得越精準,系統在錯誤與攻擊下越能維持可控。

核心要點

最小權限不是一次性專案,而是持續營運機制。
1

從任務反推權限,不只依職稱授權

先列出主體必須執行的實際動作,再映射必要權限,避免職稱式過寬授權。
2

權限應小範圍、短時效

優先使用短期憑證與資源級授權,減少長期高權限暴露窗口。
3

高風險操作分層保護

對刪除、匯出、資金異動等高影響操作增加雙重審批或緊急通道機制。
4

持續盤點與自動回收

權限漂移難以避免,需透過定期複核、離職回收與異常告警維持最小化。

應用場景

最小權限可同時落在技術系統與跨部門流程。

雲端基礎設施

以資源級政策取代萬用授權,讓服務只觸及其職責範圍內資源。

資料平台治理

依資料敏感度分配讀寫權限,對匯出與跨域同步施加額外限制。

內部管理後台

將日常支援操作與不可逆操作分離,關鍵變更需額外確認。

個人與團隊運作

區分日常帳號與管理帳號,避免高權限日常化造成誤傷。

經典案例

2013 年 Target 資料外洩事件後,多份公開安全復盤指出:攻擊者在取得第三方憑證後能夠橫向移動,與過寬權限與分段不足高度相關。此事件成為企業權限治理的重要警示案例。 可核查指標是損失規模:公開財報與報導顯示,其後續處置、法律與營運成本累積達數億美元量級。最小權限無法單獨阻止所有攻擊,但能顯著壓縮被突破後的擴散半徑與連鎖損害。

邊界與失效場景

最小權限若落地方式僵化,容易變成流程阻力。
  • 過度收緊導致停擺:缺乏快速例外通道時,合法業務會被頻繁阻斷。
  • 繞過治理形成影子流程:申請流程過慢會促使共享帳號或私下授權。
  • 靜態角色失真:組織快速變動下,固定角色模型易累積隱性過授權。

常見誤區

許多團隊把最小權限誤解為純合規動作。
更正:低品質流程會拖慢效率;設計良好的即時授權可同時提升安全與速度。
更正:財務、營運、人資與供應商流程同樣有權限風險,皆需最小授權設計。
更正:RBAC 只是基礎,還需權限生命週期管理、情境策略與快速回收機制。

相關概念

最小權限與以下原則結合時,可同時提升安全性與可營運性。

關注點分離

先劃清職責邊界,再配置權限,可降低重疊與灰色地帶。

快速失敗原則

及早暴露權限設定問題,避免風險在系統中長期累積。

可逆性原則

關鍵操作可回滾時,即使授權失誤也能快速止損。

一句話總結

最小權限的本質,是把授權從廣泛常設改成最小、短期、可審計的精準能力。