NIST Special Publication 800-53 Revision 5.2.0 Rev 5.2.0

系统提供各种功能和服务。某些默认常规提供的功能和服务可能并非支持关键组织任务、功能或操作所必需。此外，有时从单个系统组件提供多项服务是方便的，但这样做会增加风险，相比之下限制该单个组件提供的服务可降低风险。在可行的情况下，组织会将组件的功能限制为每个组件仅执行单一功能。组织还会考虑移除未使用或不必要的软件，禁用未使用或不必要的物理和逻辑端口及协议，以防止组件的未经授权连接、信息传输和隧道传输。组织使用网络扫描工具、入侵检测与防御系统以及端点保护技术（如防火墙和基于主机的入侵检测系统）来识别并阻止使用被禁止的功能、协议、端口和服务。最小功能性也可以作为系统基本设计和开发的一部分实现（参见SA-8、SC-2和SC-3）。