大部分军工单位涉密网，在网络层部署了防火墙、入侵检测、CA证书网关等安全产品，已构建自上而下的安防体系，主机层已部署主机审计、三合一、打印监控、保密软件、UKEY证书等安全防护软件，整体来看，安全方面构建的相对完善。

其次，在管理方面，各军工单位已构建资产台账系统，从终端配备、操作系统安装、IP地址分配、登记审批、交换机端口开启与绑定等操作已具有完备流程及台账信息。

那么，网络接入控制系统是否还有必要？

     安全角度分析：

    （1）当前的IP/MAC/PORT绑定、空闲端口关闭，虽然很大程度防范了非法设备的接入，但存在IP/MAC/PORT仿冒接入隐患，现有部署的安全产品，无解决方案。

    （2）当前在主机层面部署的安全防护软件，都是针对办公电脑，作为网络边界空间资产组成部分之一的哑终端，如打印机、刷卡器等，未在保护范围内，易被恶意利用，非法设备可通过无人值守的哑终端接入网络。

    （3）当前在主机层面部署的安全防护软件都是制度上强制要求部署，人工执行安装，存在安全防护软件私自卸载、重装系统消失，无及时督促安装则安全存在水桶效应。

    （4）空闲端口关闭大部分采用人工执行，必然存在漏关现象，非法设备可通过此路径接入网络。

     运维方面分析：

      当前台账信息基本依赖人工录入，例如IP、MAC、使用人、办公室、电话、硬件信息等，缺乏实时性，而且通常退网无告知的现状，导致数据缺乏真实性。同时台账信息中的IP地址信息，由于退网无告知，通常IP地址分配完毕，无法及时回收，导致IP地址伪枯竭。

      交换机端口IP/MAC/PORT绑定的命令执行、空闲端口关闭的命令执行，基本依赖技术人员手动执行，每日的新增终端、不时的部门位置变更、定期的端口查看并关闭等工作，重复、繁琐且耗时。

（1）自动发现所有网络终端，自动阻断未知终端接入网络；

（2）对终端合规性进行检查（必须安装杀毒软件、三合一、主机监控），只有符合要求的终端才能接入网络；

（3）对网内哑终端进行仿冒鉴别，对非法伪造IP/MAC/PORT的设备隔离阻断；

（4）网络边界完整性检查，自动发现HUB、小路由等违规设备并自动阻断；

（5）对全网终端采用IP/MAC/PORT进行绑定，禁止违反绑定的终端接入网络；

（6）对全网IP地址进行可视化管理，对IP地址的分配、使用、回收情况统计查询；

（7）与当前台账系统联动，同步台账系统数据并实时对比网络实际情况，对台账与实际在用不符的进行告警和阻断；

（8）软件资产管理，提供对全网终端的软件进行统计查询功能，如可方便的统计如已安装、未安装三合一的终端。