保护受控未分类信息 Rev 3

系统可以提供多种功能和服务。某些默认提供的常规功能和服务可能并非支持组织的核心任务、功能或运营所必需。从单一系统组件提供多种服务可能比较方便。然而，这样做会增加风险，相比限制任何单一组件提供的服务。在可行的情况下，组织将每个组件的功能限制为单一功能。组织会审查系统或系统组件提供的功能和服务，以确定哪些功能和服务是可以淘汰的候选对象。组织会禁用未使用或不必要的物理和逻辑端口及协议，以防止设备的未授权连接、信息的传输和隧道传输。组织可以使用网络扫描工具、入侵检测和防御系统以及终端保护系统（例如）。防火墙和基于主机的入侵检测系统）以识别和防止使用被禁止的功能、端口、协议、系统连接和服务。蓝牙、文件传输协议（FTP）和点对点网络是组织考虑消除、限制或禁用的协议类型示例。