根据您的看法，它们是同一事物的阴影。当相同的术语也用于其他事物时，就会出现混淆。

“最小特权”原则指出，一个人应该只能访问他们需要的东西，仅此而已。将此想法扩展到“数据机密性”，您最终会得到“需要知道”。

换句话说，要对数据保密，您需要确保只有需要访问该数据的人才能访问，而没有其他人可以访问。同样，这是一种“需要知道”和“最小特权”的形式。

我不会说这三个想法是同一个想法，但要实现“机密性”，您最终需要使用“最小特权”，进而“需要知道”。

顺便说一句，除了“需要知道”之外，您的报价是将“最小特权”的应用作为其自己的想法，这是有效的。最小特权可以应用于访问和能力以及数据的机密性。

假设詹姆斯邦德有“秘密”许可。这是他的特权。他应该有“最高机密”吗？不。出于各种原因，即使他是詹姆斯邦德，他也拥有他需要的最少特权：他不需要知道“绝密”的事情，因此他的（最低）特权级别设置为“秘密”。

现在，假设邦德正在牙买加与邪恶作斗争。由于他“需要知道”，他对牙买加有了相当多的了解。他是否也了解有关古巴的“秘密”信息？不，目前，他不需要知道这些。

顺便说一句：他的“杀人执照”？这更多的是一种能力，因此更像是获得对文件的写访问权；因此，更多的是他的特权的一个方面，而不是他在某个地方利用它的“需要”。事实上，如果詹姆斯在执行有关牙买加的任务时在古巴射杀某人，M 可能会非常生气，除非詹姆斯能够证明古巴的杀戮本质上是他对牙买加工作的“需要”。

需要知道意味着用户有正当理由访问某些东西。然后可以实施最小权限来限制该访问并限制用户可以使用该东西做什么。例如，在确定用户有访问（“需要知道”）用户数据的业务需要之后，“最小权限”问题是他们应该对该用户数据拥有什么样的访问权限？只读？更新？删除？为用户提供他们完成需求所需的最少权限。

需要知道会产生一些行动的需求。最小权限是提出要求的实现。从这个角度来看，（首先）需要知道--->（然后）最小特权。