通過審核（查看日誌）來跟踪“誰做了什麼”來確定或確定責任制。記帳記錄“已完成的工作”，而身份驗證則標識並驗證“誰做了”。不管活動是否被授權，都應記錄或記錄該活動，如下圖/ OSG問題所示。
但是，懲罰措施是基於責任確認後的授權。授權的行為將不會受到懲罰，而未經授權的行為將受到懲罰。

-圖片來源：CISSP官方學習指南（OSG）在線測試銀行

定義不一致（Inconsistent Definitions）
此問題旨在促使AAA，身份驗證，授權和計費的定義保持一致。用“審計”或“問責制”代替“會計”的最後一個“ A”並不少見。我強烈建議使用“會計”，因為無法進行審計，並且如果不進行會計就無法得出問責制。我的帖子《另一個AAA》也談到了這個問題。
無論我們從字面上解釋它還是將其與NIST詞彙表或RFC等權威資料進行比較，官方學習指南（OSG）中對審計和會計的以下描述在邏輯上都是不合理的。
審核記錄與系統和主題相關的事件和活動的日誌記帳（也稱為問責制）審核日誌文件以檢查合規性和違規性，以使主題對其行為負責

斯圖爾特（James M.）查普，邁克；吉布森，達里爾。CISSP（ISC）2認證的信息系統安全專業人士官方學習指南（Kindle位置1737-1739）。威利。Kindle版。

會計（Accounting）
在財務會計中，“會計是記錄與業務有關的財務交易的過程。會計過程包括匯總，分析這些交易並將其報告給監督機構，監管機構和稅收實體。”（investopedia）
在IT中，記帳是“出於趨勢分析，審計，計費或成本分配目的而收集有關資源使用情況的信息的行為。” （RFC 3539）
簡而言之，會計跟踪活動並記錄日誌。審計跟踪是用於審計的相關日誌的集合，或“按時間順序的記錄，用於重建和檢查與安全相關的事務（從開始到最終結果）中圍繞或導致特定操作，過程或事件的活動順序。” （CNSSI 4009）

稽核（Auditing）
稽核是“獨立審查和檢查記錄和活動，以評估系統控制的充分性，以確保遵守既定的政策和操作程序。” （CNSSI 4009）
問責制是“安全性目標，它產生了將實體的操作唯一地追溯到該實體的要求。” （CNSSI 4009）

驗證（Authorization）
驗證請求的身份的行為，它是來自相互已知的名稱空間的預先存在的標籤形式的消息，它是消息的始發者（消息身份驗證）或通道的端點（實體身份驗證）。（RFC 3539）

授權（Authorization）
確定特定權利（例如對某些資源的訪問權）是否可以授予特定憑證的提交者。（RFC 3539）
參考
. 基於風險的稽核
. 什麼是會計？
. RFC 3539：身份驗證，授權和會計（AAA）傳輸配置文件
. RFC 2866：RADIUS記帳

資料來源： Wentz Wu QOTD-20210211