RBAC 访问控制模型的核心是什么？信息安全工程师软考题解析

题目

某系统不是直接给每个用户逐项分配权限，而是先给角色分配权限，再把用户分配到相应角色。该访问控制思想属于哪一种模型？

A DAC 自主访问控制

B MAC 强制访问控制

C RBAC 基于角色的访问控制

D 单点登录 SSO

题目类型：原创高频练习题用途：用于帮助理解信息安全工程师相关考点和答案解析，不等同于官方真题。

正确答案

答案解析

RBAC 的核心是角色。权限分配给角色，用户通过拥有角色间接获得权限，这样便于组织内统一授权和权限维护。

选项分析

错误。DAC 强调资源拥有者可以自主决定访问权限。

错误。MAC 强调安全级别和强制策略。

正确。RBAC 通过角色把用户和权限连接起来。

错误。SSO 是单点登录，不是访问控制模型。

先看结论

简短答案

RBAC 访问控制模型的核心是什么，正确答案是 C（RBAC 基于角色的访问控制）。RBAC 的核心是角色。权限分配给角色，用户通过拥有角色间接获得权限，这样便于组织内统一授权和权限维护。

解析

易混淆概念对比表

概念	本题判断	区别要点	记忆提示
DAC 自主访问控制	本题干扰项	错误。DAC 强调资源拥有者可以自主决定访问权限。	看到该词不要急着选，先判断是否真正解决题干问题
MAC 强制访问控制	本题干扰项	错误。MAC 强调安全级别和强制策略。	看到该词不要急着选，先判断是否真正解决题干问题
RBAC 基于角色的访问控制	本题正确答案	正确。RBAC 通过角色把用户和权限连接起来。	看到题干核心场景时优先联想到它
单点登录 SSO	本题干扰项	错误。SSO 是单点登录，不是访问控制模型。	看到该词不要急着选，先判断是否真正解决题干问题

本题易混淆选项怎么区分

DAC 自主访问控制：错误。DAC 强调资源拥有者可以自主决定访问权限。
MAC 强制访问控制：错误。MAC 强调安全级别和强制策略。
单点登录 SSO：错误。SSO 是单点登录，不是访问控制模型。

复习

知识点详解

RBAC 访问控制是信息安全工程师考试中需要结合场景理解的考点。围绕“RBAC 访问控制模型的核心是什么”这类题目，复习时要先看题干描述的是概念定义、适用场景、作用效果，还是与其他选项的区别。本题的题干关键词是“某系统不是直接给每个用户逐项分配权限，而是先给角色分配权限，再把用户分配到相应角色。该访问控制思想属于哪一种模型”，它指向的核心答案是 C（RBAC 基于角色的访问控制）。

备考速记

备考速记：题干如果强调“信息安全工程师RBAC”中的关键目标，就先联想到 RBAC 访问控制；如果选项里出现 DAC 自主访问控制、MAC 强制访问控制、单点登录 SSO，不要只看名称熟悉，要判断它们是否真正对应题干场景。

RBAC 访问控制在信息安全工程师RBAC场景中的作用

RBAC 访问控制在本题中的核心价值，是解决“某系统不是直接给每个用户逐项分配权限，而是先给角色分配权限，再把用户分配到相应角色。该访问控制思想属于哪一种模型”这个场景问题。复习时不要只背选项名称，还要理解它为什么适用于该场景，以及它能解决哪类安全、流程或管理问题。

拓展

解题思路

题干里出现“角色”两个字，基本就要想到 RBAC。考试常把 DAC、MAC、RBAC 放在一起，关键是看授权依据。

考点定位

本题考查信息安全工程师中的“RBAC 访问控制”。这类题通常不会只问死记硬背的定义，而是把概念放进一个小场景里，让考生判断哪个术语、方法或模型最匹配。

易错提醒

不要把认证和授权混为一谈。登录证明你是谁，授权决定你能做什么。
RBAC 不是把权限直接绑到用户身上，而是通过角色间接授予。

备考提示

看到用户多、岗位多、权限维护复杂的场景，RBAC 往往是更合理的答案。

你可能还想了解

RBAC 访问控制模型的核心是什么？
RBAC 访问控制是什么？
RBAC 访问控制在信息安全工程师考试中怎么考？
信息安全工程师RBAC 访问控制题怎么理解？
信息安全工程师RBAC怎么考？
访问控制模型怎么考？

本文小结

本题核心考点是RBAC 访问控制在信息安全工程师RBAC场景中的判断和应用。遇到类似题目时，先看题干描述的目标，再判断哪个选项最符合场景；本题应选择 C（RBAC 基于角色的访问控制）。

RBAC 访问控制模型的核心是什么？