ремонт квартири, дому, будинку, Київ, Україна, ремонт квартир

IP-відеоспостереження від "А" до "Я", як організувати спостереження через інтернет

На поточний момент часу можна виділити 5 видів відеоспостереження, які досить сильно відрізняються один від одного. Класичне аналогове - CVBS, його більш просунута цифрова реінкарнація - HD-SDI, і те, і інше вже кілька років як не використовується. 

Далі три "аналогових" формати HD-TVI, HD-CVI і AHD. Усі три недорогі і китайські, для невеликих, простих завдань цілком можуть підійти. Єдина, але вагома причина існування аналогових форматів - це ціна, і можливо, якщо вам потрібно щось недороге, то краще взяти недорогий аналог, ніж недороге IP. Таке відеоспостереження ми щомісяця роздаємо безплатно, тож якщо вам таке потрібно, запрошуємо до участі в нашому нескінченному розіграші.

Зміст

  • У чому переваги IP-відеоспостереження?
  • Що таке IP-відеоспостереження?
  • Вибираємо IP-камери
      Тепловізійні IP-камери
      Матриця відеокамери. Дюйми проти мегапікселів
      Можливості ISP-процесора
      Стиснення зображення (кодування)
      Центральний процесор IP-відеокамери
  • Стандартизація та сумісність
  • Керування системою IP-відеоспостереження
      Вбудоване в IP-камеру програмне забезпечення
      Програмне забезпечення на відеореєстраторі
      Програмне забезпечення (VMS) на сервері
      Хмара (VSaaS)
      Відеоаналітика
  • Обираємо пристрої зберігання відеоархіву
      IP-камера
      NVR або сервер для відеоспостереження
      Виділені сховища
      Cloud storage або хмарне зберігання
  • Моніторинг
  • Мережева інфраструктура
      Принцип побудови мережі для IP-відеоспостереження
      Комутатори та маршрутизатори
      Пропускна здатність мережі
  • POE в IP-відеоспостереженні
      Бездротове передавання даних
  • Доступ до системи відеоспостереження через інтернет
      Перенаправлення портів
      Динамічний DNS
      Universal Plug and Play (UPnP)
      Хмарні сервіси
      VPN
  • Кібербезпека
      Уразливості обладнання для IP-відеоспостереження
      Рекомендації з кібербезпеки від виробників

У чому переваги IP-відеоспостереження?

  • Висока роздільна здатність IP-камер
  • Можливість виконання відеоаналізу зображення на IP-камері
  • Інтеграція з мережевими додатками та хмарними сервісами
  • Масштабованість
  • Немає єдиної точки відмови
  • Кодування (стиснення) відео на IP-камері

Порівняно із сучасним аналоговим, реальне IP-відеоспостереження це досить дорого, і далі ми якраз спробуємо розібратися чому.

Далі ми торкнемося здебільшого специфічних для вибору відеоспостереження питань, тобто виходитимемо з того, що правильний вибір між аналогом і IP вже зробили.

Що таке IP-відеоспостереження?

Особливістю систем IP-відеоспостереження є передача відеопотоку в цифровому форматі мережею Ethernet, що використовує міжмережевий протокол або IP, звідси і назва. Система IP-відеоспостереження складається з мережевих пристроїв, кожен з яких має в мережі свою IP-адресу та унікальну MAC-адресу.

Першим і головним компонентом будь-якої системи IP-відеоспостереження є IP-камера. Настільки головним, що сама IP-камера може бути повноцінною системою IP-відеоспостереження. IP-камера може знімати відео, записувати його на вбудовану SD-карту, може надсилати сповіщення про події, що відбуваються в кадрі, дає змогу переглядати відео онлайн на екрані монітора або смартфона, може виконувати аналіз відео (відеоаналітика), наприклад, розпізнавати автомобільні номери.

Компоненти систем IP-відеоспостереження:

  • IP-камери, хоч і головний, але не єдиний компонент системи IP-відеоспостереження.
  • Пристрої зберігання відеоархіву, переважно це відеореєстратори або сервери, які отримують потоки від камер, записують їх на жорсткі диски, а також передають "живе" відео або архівні записи робочим станціям.
  • Програмне забезпечення для відеоспостереження. Саме з софтом користувачам доведеться взаємодіяти щодня, а отже, від зручності програмного забезпечення залежить, наскільки наш досвід буде зручним.
  • Мережеве обладнання, здебільшого це комутатори і маршрутизатори, які створюють простір локально-обчислювальної мережі (ЛОМ), надають IP-адреси, підтримують з'єднання між пристроями за міжмережевим протоколом. 

Звичайно, є ще десятки тисяч пристроїв, які можуть використовуватися, доповнювати або розширювати функціонал сучасних IP систем відеоспостереження.

Обираємо IP-камери

IP-камера - це основний пристрій у системі відеоспостереження, а залежно від системи це може бути єдиний пристрій, і в майбутньому кількість таких систем тільки зростатиме. Особливо відрадно, що для того, щоб перетворити IP-камеру минулого на IP-камеру майбутнього, в деяких випадках буде достатньо оновити прошивку IP-камери.

IP-камера - це цілком собі невеликий комп'ютер, у якому, крім ISP-процесора, є центральний процесор, що керує відеокамерою, мережевий інтерфейс, процесор, що керує алгоритмами стиснення відеопотоку, та інші модулі, наприклад, мікрофон, або блок для керування тривожними входами, або додаткові відеовиходи. 

Найважливішою частиною IP-камери є вбудоване програмне забезпечення, зазвичай використовується дуже сильно урізана Linux, на базі якої розгорнуто веб-сервер, він відповідає під час звернення до відеокамери за IP-адресою.

Під веб-сервером тут мається на увазі програмне забезпечення в IP-камері, яке приймає HTTP-запити від клієнтів і відповідає на них. Зазвичай, NVR або VMS знаходять IP-камеру в мережі за MAC-адресою, після цього користувач може налаштувати їй статичну IP-адресу. Після отримання IP-адреси відеокамера стає доступною для отримання запитів і надсилання відеопотоку мережею. Усі протоколи, за якими відбувається обмін даними між веб-сервером відеокамери та клієнтами, а це HTTP, RTSP, RTP, працюють на прикладному рівні мережевої моделі TCP/IP.

  • RTSP (Real Time Streaming protocol) - це основний протокол, за яким відбувається передача відеопотоку. У налаштуваннях IP-відеокамери протокол RTSP може працювати поверх транспортних протоколів TCP або UDP (RTSP over TCP або RTSP over UDP). Їхня відмінність у тому, що транспортний протокол TCP вимагає підтвердження встановлення з'єднання або отримання пакета другою стороною, а UDP просто шле і нічого не вимагає, тому з'єднання за UDP працює швидше, а за TCP надійніше і підходить для проблемних мереж.
  • З HTTP працювали застарілі моделі відеокамер, у яких відеопотік розкладався на фрейми у форматі JPEG і викладався на веб-сервері відеокамери, а клієнт забирав їх із певною частотою. Це не потокова передача даних, вона називалася JPEG over HTTP. Зараз такий метод не використовується.
  • RTP (Real Time Transport Protocol) - це ще один варіант стрімінгового протоколу, що використовується для передачі даних у режимі реального часу. RTP працює, як правило, поверх UDP і не використовує зарезервовані порти, як RTSP (це може стати проблемою, якщо вам треба відправити відеопотік кудись за міжмережевий екран, в інший сегмент мережі або взагалі в іншу мережу).
  • Протокол ONVIF також використовується в IP-відеокамерах для встановлення з'єднання і передавання даних. 

Вбудоване в IP-камеру програмне забезпечення розробляється виробником IP-камери і встановлюється в момент виробництва. Однак окремі виробники дозволяють за допомогою свого вбудованого в IP-камеру програмного забезпечення встановлювати на IP-камеру програмне забезпечення сторонніх розробників. 

Таке, звісно, на момент написання статті можуть тільки максимально просунуті виробники, наприклад Axis з їхньою платформою ACAP. Хорошим прикладом такого софта буде Traffic CaMMRa - програмне забезпечення для розпізнавання автомобільних номерів.

Керування сухими контактами камери

Деякі IP-відеокамери оснащуються колодкою для під'єднання сухих контактів, це можуть бути тривожний вхід або тривожний вихід, або і те й інше. На контакти тривожного входу можна під'єднати датчики, наприклад, пожежний або периметральний, або геркон дверей чи вікна, або датчик протікання, якщо ви використовуєте таку схему в домашніх умовах. Датчик може бути під'єднаний на контакт НЗ (нормально замкнений) або НО (нормально відкритий), у разі зміни стану контакту IP-камера формує тривожну подію, на яку можна налаштувати реакцію, наприклад, відправлення сповіщення, вмикання запису, вимикання запису, увімкнення звукового сповіщення, якщо відеокамеру оснащено мікрофоном, активація тривожного виходу (реле). До тривожного виходу можна під'єднати пристрої, якими керують через реле, наприклад, сирену, і активувати їх за тривогою від інших програмних або апаратних датчиків.

  • IP-камери з тривожними входами
  • IP-камери з тривожними виходами

Тепловізійні IP-камери

Крім класичних IP-камер, у відеоспостереженні також застосовують тепловізійні IP-камери, вони також можуть використовуватися в одній системі з класичними, у багатьох випадках вдало розширюючи їхні можливості. Однак тепловізійні IP-камери - це особливий конструктив, тому ці відеокамери на порядок дорожчі за звичайні. Тепловізійні відеокамери застосовуються для контролю за інженерними об'єктами, для спостереження за периметром, і, увага мейнстрім, для виявлення людей з підвищеною температурою тіла. Загалом, це окрема історія зі своєю специфікою використання, тому все, що я писатиму нижче, відноситься до класичних IP-камер і IP-систем.

Матриця відеокамери. Дюйми проти мегапікселів

У камерах відеоспостереження (і аналогових, і цифрових) історично використовувалися два типи матриць: ПЗС (CCD) - використовує технологію приладів із зарядовим зв'язком і матриця КМОП (CMOS) на польових транзисторах з ізольованим затвором і каналами різної провідності. Приблизно з 1990 року матриці КМОП стали набирати популярність. Їхнє виготовлення виявилося дешевшим, енергоспоживання нижчим, швидкість зчитування з КМОП-матриці вищою, ніж у ПЗЗ, зараз вони практично не програють у чутливості та кількості шуму. І наразі на ринку систем відеоспостереження ситуація така, що приблизно зі 100 IP-відеокамер 95 - це відеокамери на КМОП-матрицях.

Виробники матриць для відеокамер

Безумовний лідер у виробництві сенсорів для відеокамер це компанія Sony Semiconductor. Компанії Sony належить розробка матриць Sony Exmor, яка 2008 року здійснила прорив серед КМОП-сенсорів. Sony Exmor це матриці зі зворотним засвіченням, це технічне рішення дало змогу збільшити площу чутливого шару матриці та скоротити шлях проходження світла до цього шару. Крім того, в КПОМ-матрицях стали використовувати шумозаглушення, що дало змогу зрівняти їхню чутливість із матрицями ПЗС. Цей самий принцип використовують матриці, виготовлені за технологією Starlight. 

Зараз серед лідерів виробників матриць: Sony Semiconductor, On Semiconductor, Omnivision, Samsung, AMS.

Розмір матриці VS роздільна здатність матриці

Виробники випускають матриці, що сильно відрізняються одна від одної:

  • Фізичним розміром матриць, наприклад, ½", ⅓", ¼", ⅔", 1" (розмір матриць вимірюється в дюймах).
  • кількістю пікселів (кількість пікселів визначає фізичну роздільну здатність матриці, ті самі 1-2-4 Мп)
  • Розміром пікселя

Все це призвело до величезного різноманіття сенсорів на ринку, і до такого ж різноманіття їхніх якісних характеристик.

А найголовніше це призвело до того, що при виборі споживачі орієнтуються на кількість мегапікселів, як на основну характеристику камери. Що не дивно, оскільки в теорії здається, що більше мегапікселів, то краща деталізація. Однак це не так, і найчастіше матриця з меншою кількістю мегапікселів зможе сформувати краще зображення.

Тому під час вибору відеокамери насамперед слід звернути увагу не на роздільну здатність матриці, а на її розмір. Умовно, якщо кількість пікселів у двох матрицях однакова, то матриця розміру ½", у пристойній кількості випадків, покаже краще зображення, ніж матриця розміру ¼", оскільки в другій матриці пікселі розміщені купчастіше, що дасть тепловий шум від роботи сусідніх пікселів на зображенні, особливо на великій витримці, коли час роботи кожного пікселя збільшений (наприклад, під час знімання сцен із низькою освітленістю). Логічно, що відеокамери з великим розміром матриці коштують дорожче.

Крім того, виробники змінюють розміри самого пікселя в різних матрицях і частоту кадрового затвора. Збільшення частоти кадрового затвора забезпечує захоплення швидко рухомих об'єктів без спотворень. Використовуючи матриці високої чутливості можна вести зйомку на короткій витримці без втрати якості зображення (змазування, затемнення тощо). Менший розмір пікселя дає змогу ущільнити кількість цих пікселів на матриці того ж розміру. Усі ці маніпуляції дають змогу забезпечити найкращий показник квантової ефективності матриці і, звісно, різноманітність сенсорів під різні потреби. 

Загалом, під час вибору IP-відеокамери варто звернути увагу на співвідношення розміру матриці та кількості пікселів, а ще на те, за якою технологією виготовлено матрицю, зі зворотним засвіченням або стандартною (всі ці Exmor, Starvis або Starlight мають значення). 

IP-відеокамера з великою матрицею і великою роздільною здатністю коштує дорожче, встановлення таких відеокамер повсюдно не завжди виправдане. Наприклад, якщо ви використовуєте відеокамеру для спостереження за периметром, де рідко відбувається рух, або використовуєте в якійсь загальній сцені, можна обійтися простішими відеокамерами з роздільною здатністю до 2Мп. Якщо відеокамера потрібна для спостереження за роботою з грошима, для розпізнавання номерів або облич, у цих випадках використовувати відеокамери з матрицями більшої роздільної здатності та більшого фізичного розміру.

Можливості ISP-процесора

ISP або Image Signal Processor - це чіп, який відповідає за отримання зображення з матриці. Він не тільки збирає сигнали з пікселів матриці в єдину картинку, а й відповідає за контрастність одержуваного зображення, чіткість, баланс білого, експозицію, і видалення шумів.
У характеристиках відеокамери можна зустріти такі функції, роботу яких забезпечує ISP-процесор.

  • AGC
    Automatic Gain Control або автоматичне регулювання посилення. Сигнал від матриці посилюється, якщо освітленість падає.
    Відеокамери з AGC
  • ALC
    Automatic light control або автоматичне регулювання освітленості. ALC допомагає оптимізувати роботу діафрагми в сценах з високою контрастністю. За умови, що відеокамера оснащена об'єктивом з автодіафрагмою.
    Відеокамери з ALC
  • BLC
    Black Light Compensation або компенсація зустрічного засвічення. Ця функція корисна, якщо об'єкти в центрі кадру зняті в контровому світлі і виявляються темними. BLC вирівнює освітленість кадру.
    Відеокамери з BLC
  • DNR
    Digital Noise Reduction або цифрове придушення шумів. В умовах недостатньої освітленості, зображення буває зашумленим. Ця функція виробляє придушення шумів в зображенні, що з'являються при вимушеному посиленні сигналу. У крайніх випадках ця функція може призводити до змазування зображення. Може бути двомірним 2D DNR, і тривимірним 3D DNR.
    Відеокамери з DNR
  • HLC
    High Light Compensation або компенсація засвічення. HLC корисна в тих випадках, коли в кадрі є джерело яскравого світла, внаслідок чого об'єкти в темних ділянках кадру невиразні. HLC вирівнює яскравість у тінях і маскує джерело світла. 
    Відеокамери з HLC
  • LSC
    Lens Shadow Compensation або компенсація тіней по краях кадру, які можуть виникати на деяких фокусних відстанях варіофокального об'єктива. При включенні цієї функції яскравість по краях кадру вирівнюється.
    Відеокамери з LSC
  • WDR
    Wide Dynamic Range або розширений динамічний діапазон. Існує два варіанти реалізації цієї функції, перший - матриця з подвійним скануванням, коли матриця під час одного напівкадру робить два знімки на довгій витримці та на короткій, ISP-процесор накладає ці знімки один на одного й одержує зображення з однаково ясними деталями у світлих ділянках і в тінях; 
    другий спосіб - електронний WDR, це звичайна матриця, яка робить два таких самих кадри за звичайний час, решту обчислень робить ISP-процесор, мінус другого способу - якщо матриця низькошвидкісна, то під час увімкнення функції WDR падає швидкість виведення інформації на монітор.
    Відеокамери з WDR
    Відеокамери з D-WDR

Стиснення зображення (кодування)

По-перше, варто сказати, що абсолютно будь-яке відео кодується і стискається. Це необхідно, щоб скоротити витрати на зберігання відеоінформації та оптимізувати передачу відеопотоку мережею. У разі сучасних аналогових систем (HD-TVI, HD-CVI і AHD), стиснення відбувається у відеореєстраторові, аналогова відеокамера лише передає на реєстратор аналоговий сигнал по своєму виділеному коаксіальному кабелю.

У випадку з IP-системою, оцифрування і стиснення відеосигналу відбувається в самій IP-камері, по-перше, щоб знизити навантаження на ЛВС (це не виділений дріт до реєстратора, це єдина мережа, пропускна здатність якої обмежується можливістю мережевого обладнання), а по-друге, щоб оптимізувати зберігання.

Існує два основні підходи до стиснення: внутрішньокадровий і міжкадровий.

  • Внутрішньокадрове стиснення виконується тільки в одному кадрі, а не між кадрами (кодек - MJPEG).
  • Міжкадрове стиснення виконується і між кадрами, і в окремих кадрах (кодеки - H.264, H.265, MPEG-4)

Тобто всі кодеки підтримують внутрішньокадрове стиснення, але тільки деякі підтримують як внутрішньокадрове, так і міжкадрове стиснення.

Наразі кодек H.264 найпоширеніший в IP-обладнанні, порівняно з використанням старішого кодека MJPEG різниця колосальна, тому обладнання, що підтримує тільки кодек MJPEG, вважається застарілим. 
Ще один момент, кодек H.264 підтримується профілем ONVIF S, а це найбільш часто використовуваний профіль для сумісності IP-пристроїв. 

Наступний кодек - H.265, і це топ на момент написання статті. Дає економію близько 20-30% порівняно з H.264, але його підтримка обмежена профілем ONVIF T, а він не так поширений на ринку систем відеоспостереження.
Тому якщо вам хочеться користуватися просунутими функціями вашого обладнання, типу кодування H.265 і протоколом ONVIF, а в цьому є великий сенс, оскільки навіть 20-30% це пристойна економія на системах зберігання.
Потрібно переконатися, що всі частини системи підтримують профіль ONVIF T або користуватися пропрієтарними протоколами виробників обладнання.

Є і пристойна ложка дьогтю для H.265 кодека, це більш ніж 1000 патентів, які використовуються в H.265. Усі патенти об'єднані в 3 патентні пули від кількох незалежних патентовласників. Щорічна вартість ліцензування багато від чого залежить, але приблизно становить 1 мільйон доларів за 1 мільйон камер. Складність і вартість ліцензування призводить до того, що багато найбільших виробників камер відеоспостереження не мають ліцензій, незважаючи на продаж продуктів, в яких використовується кодек H.265. Наприклад, на даний момент, це Hanwha і HikVision.

Патентовласники H.265 поки що не висловлюють наміру порушувати судові позови проти покупців, які використовують продукти H.265, що не були належним чином ліцензовані. Тому для споживачів правовий ризик хоч і існує, але є низьким.

Однак для великих компаній або державних організації, для яких використання продуктів, що порушують патенти, є неприйнятним, використання H.265 може бути обмежене лише виробниками, що мають ліцензії.

Смарт кодеки

У характеристиках відеокамер HikVision можна зустріти згадку підтримки кодека H. 264+, це розробка компанії HikVision на базі стандартного кодека H. 264, його підтримують тільки продукти HikVision.

Так само, як компанія Axis розробила свій формат стиснення на базі того ж стандартного H.264 і назвала його Zipstream, його підтримують камери Axis. 
І вони дають пристойну економію, але недолік у них теж є, протоколи ONVIF (S або Т) не підтримують ці кодеки. А отже, це певною мірою прив'язує вас до вендора. А як показують останні витки торгових воєн між Китаєм і США, така прив'язаність - це недозволена розкіш.

Що вибрати?

Для малих систем підійде будь-який сучасний кодек, що сучасніший, то ліпше - H.264, H.264+, H.265, H.265+, Zipstream.

  • Відеокамери з H.264
  • Відеокамери з H.264+
  • Відеокамери з H.265
  • Відеокамери з H.265+
  • Відеокамери з Zipstream

Для середніх за розміром систем вибір універсального кодека стає більш важливим, для великих систем одним з критичних. Причини дві, перша - що більша система, то більша за об'ємом їй потрібна система зберігання, а більша - значить дорожча. Економія на стисненні навіть на 20-30 відсотків це значна економія на обладнанні для зберігання відеоархіву.

Друга причина - універсальність, для великих систем пропрієтарні кодеки виробників обладнання часто не будуть найкращим вибором, оскільки можуть виникнути питання, пов'язані з налаштуванням обладнання під час розширення або модернізації систем відеоспостереження. Отже, здебільшого обладнання з підтримкою H.265 і профіль ONVIF T буде найкращим вибором. Однак слід пам'ятати про проблеми з ліцензуванням H.265 і якщо для вас це важливо, обирати виробників, які мають необхідні ліцензії.

Центральний процесор IP-відеокамери

Центральний процесор IP-відеокамери або SoC-процесор (від System On Chip) це те, що робить IP-відеокамеру невеликим комп'ютером. Він відповідає за всю роботу відеокамери, роботу всіх інтерфейсів: мережа Ethernet, бездротовий інтерфейс, якщо є, аудіо входи і виходи, тривожні реле, а також за відеоаналітику, передачу відеосигналу, він підтримує роботу операційної системи і веб-сервера, забезпечує мережеву безпеку пристрою.

Наразі найбільш відомі виробники SoC-процесорів для IP-відеоспостереження це HiSilicon, Ambarella, Qualcomm. Трушні виробники систем відеоспостереження Sony, Bosch, Hanwha, Axis випускають обладнання на своїх процесорах, наприклад, у Axis це процесори ARTPEC, Hanwha Techwin (колишній Samsung Techwin) просуває свої процесори WiseNet, у Sony це платформа для IP-відеокамер IPELA ENGINE EX із вбудованим ISP-процесором.

У 2019 році в США розгорівся скандал через мережеву вразливість процесорів компанії HiSilicon, яка належала компанії Huawei. У результаті вся продукція Huawei на чипах HiSilicon потрапила під американські санкції, їхнє обладнання заборонено до використання на об'єктах федерального значення, аналогічно були покарані ZTE, Dahua і Hikvision. Після цих подій, побоюючись переслідувань американського уряду, інші компанії стали вивертати свою брудну білизну і зізнаватися, мовляв, так, ми теж використовуємо чіпи HiSilicon у своїх відеокамерах, наприклад, Pelco і Honeywell. Оскільки, за старою доброю традицією, виробники досить рідко вказують у документації, які процесори використовуються в тій чи іншій камері, часто єдиний спосіб дізнатися, який процесор використовується у вашій камері - це її розібрати.

На чипах HiSilicon працює вся Азія, а значить і пристойна частина світу. Чи то китайський монстр, чи то підвальний кустарник - усі використовують чіпи HiSilicon.

Детектори руху і різні функції відеоаналітики

На борту IP-відеокамери центральний процесор, зокрема відповідає і за аналітичні функції. Хоча і тут не без нюансів, у нові чипи IMX500 і IMX501 зі штучним інтелектом відеоаналітика впроваджена в ISP-процесор, це новинки 2020 року. 
Але наразі саме від центрального процесора залежатиме широта можливостей і якість відеоаналітики, які ви отримуєте.

Детектор руху

Найпоширеніша аналітична функція, доступна на IP-відеокамері будь-якого бюджету. Детектор руху, реалізований у камері, називають апаратним, тоді як детектор руху на базі реєстратора або софту - програмний. Відмінності в реалізації:

Апаратний детектор використовує тільки ресурси відеокамери, алгоритм, зашитий у процесор, визначає рух за співвідношенням освітленості сусідніх пікселів матриці відеокамери, відеокамера відправляє на сервер тільки фрагменти з рухом. Очевидні плюси: зниження навантаження на сервер і на ЛВС, робота з вихідним зображенням.

Ефективність детектора руху залежить від процесора, візьміть дешеву камеру з дешевим процесором - писатимете в архів "шелест листя", що, безумовно, позначиться на розмірах сховища для відеоархіву, а отже, і на його вартості.

Маска кадру

Маска дає змогу розмежувати області для детекції руху. Багато відеокамер дають змогу додавати не одну, а кілька ділянок детекції, щоб оптимізувати алгоритм визначення руху та мінімізувати вплив можливих перешкод (дерева, які можуть хитатися під час вітру, або рух від транспорту, коли детектор має спрацьовувати на людей). Логічно використовувати цю функцію разом із детектором руху на відеокамері, а не переносити це навантаження на сервер.

Перетин лінії

Усі, кому приходили штрафи за суцільну або стоп-лінію, заочно знайомі з тим, як працює ця функція. На кадр накладається віртуальна лінія, перетин якої об'єктом у кадрі призводить до спрацьовування детектора, у деяких варіаціях можна встановити напрямок руху під час перетину.

Вторгнення в зону

Принцип цього детектора аналогічний перетину лінії, тільки замість лінії на кадр накладається віртуальний замкнутий контур. У разі потрапляння об'єкта в контур спрацьовує детектор. Зручно, коли відеокамера використовується для спостереження за охоронюваним периметром, наприклад. У деяких варіантах можна вказати напрямок руху входу в зону або виходу.

Аудіо аналітика

Цей вид аналітики не дуже поширений у відеокамерах, але дедалі більше набирає популярності. Аудіо аналізується на предмет гучних звуків: крик, постріл, вибух, розбиття скла, сигналізація тощо. 

Тут є важливий момент, мікрофон вловить звук пострілу або крик, навіть якщо в кадрі нічого не відбувається. Однак для операторів буде зрозуміла приблизна зона, в якій цей звук було детектувано. Для виявлення рівня звукової хвилі, на яку потрібне реагування, аналітичному алгоритму встановлюється граничне значення фонового шуму, а також рівень шумозаглушення, це забезпечує оптимальне співвідношення сигнал/шум для роботи аналітики.

Загалом для роботи з аудіо в сучасних системах відеоспостереження є маса можливостей, крім вбудованих в IP-камеру мікрофонів можна використовувати зовнішні. Зовнішні мікрофони можна підключати до IP-камер, які мають лінійний вхід.
Ще можна використовувати варіант, коли в IP-камері мікрофон використовується як детектор звуку, який реагує на будь-який гучний звук без поділу за джерелом, і IP-камера починає запис за цим звуковим детектором. 

Лічильник людей / розпізнавання людини 

Лічильник людей або розпізнавання і виділення людини в кадрі - це поширений алгоритм у відеоаналітиці на IP-камерах. Цей детектор виділяє в кадрі людину (в деяких варіаціях обличчя) і не реагує на інші об'єкти (машини, тварини). У різних варіаціях детектор може вести підрахунок людей, показувати напрямок руху об'єктів, відмічати тільки об'єкти, які рухаються в зазначеному напрямку тощо.
 Для оптимальної роботи цього алгоритму відеокамеру має бути правильно встановлено відносно сцени, тобто тіло людини (або її обличчя) має займати не менше ніж певний відсоток площі кадру, пропорції не мають спотворюватися об'єктивом тощо.

  • IP-камери з можливістю підрахунку людей
  • IP-камери з функцією детекції обличчя людини

Коридорний режим

Зручна функція, коли горизонтальне зображення ріжеться до вертикально-орієнтованого. Зручно, якщо відеокамеру встановлено для спостереження в коридорі, у шлюзі або на прохідній, немає необхідності перевертати відеокамеру.

IP-камери з можливістю вертикально-орієнтованого зображення (коридорний режим)

Стеження за об'єктом / теплова карта

Ці аналітичні алгоритми працюють на основі попереднього, який виділяє в кадрі людину або обличчя. У разі стеження за об'єктом у кадрі лінією відзначаються всі переміщення об'єкта по сцені кадру. Так звану теплову карту будують на підставі даних, у яких ділянках кадру найбільше з'являються об'єкти типу "людина", ці місця позначають червоним, а місця, де найрідше спостерігають людей, на тепловій карті відображають синім кольором. Часто такі алгоритми (і їхні варіації, наприклад, детектор черги) використовуються в торгових точках. 

Детектор залишених предметів / бездіяльність / швидкий рух

Ці популярні аналітичні алгоритми допомагають підвищити захищеність об'єкта під час використання їх у тривожних сценаріях. Детектор залишених предметів спрацює там, де оператор може не звернути увагу, переглянути, відволіктися. Праздношатаніе / зупинка в заданій зоні, можуть бути корисні при спостереженні зони, що охороняється. Алгоритм, що обчислює рух швидше за заданий поріг, виділяє в кадрі транспорт, що перевищує швидкість, або людину, що біжить у натовпі.

  • IP-камери з детектором залишених / зниклих предметів
  • IP-камери з детектором неробства

Саботаж / зміна сцени

Алгоритм дає тривогу, якщо сцену в камері було змінено, наприклад, відеокамеру повернуто в інший бік або об'єктив закрито стороннім предметом. 

Антитуман / запотівання

Аналогічно до попереднього алгоритму тривожну подію генерують, якщо об'єктив запітнів, змінився фокус об'єктива або видимість у кадрі обмежена через туман.

IP-відеокамери з функцією defog / антитуман

Розпізнавання автономерів

Розпізнавання автономерів поступово мігрує від серверного методу до розпізнавання на IP-камері.

Розпізнавання облич

Через складність реалізації ці алгоритми не дуже поширені у відеокамерах, але зате часто використовуються в серверних реалізаціях або через VMS. Якщо коротко, то особу (або номер) розпізнає алгоритм і порівнює з базою даних облич (або номерів). Для зберігання бази даних IP-камера з розпізнаванням облич на борту повинна бути оснащена додатковою пам'яттю, потрібно постійно оновлювати базу, а якщо розпізнавання потрібно виконувати не на одній відеокамері, а на декількох, - все це простіше реалізувати централізовано через програмне забезпечення. 

Стандартизація та сумісність

Начебто на купі прикладів давно відомо, що для успішного розвитку галузі потрібен єдиний стандарт, що забезпечує сумісність пристроїв, щоб, купуючи черговий пристрій у свою систему безпеки, людина не замислювалася, чи зможе він працювати з іншими, вже наявними, і якщо працюватиме, то чи буде доступний весь функціонал.

У системах безпеки є ONVIF, це організація, яка займається розробкою стандартизованих протоколів взаємодії різного устаткування і програмних засобів.
Вона заснована Axis, Bosch і Sony 2008 року, вони розробили API-специфікації (Application Programming Interface) для інтеграції продуктів безпеки між собою й об'єднали їх у "профілі", що містять конкретні набори функцій. Найсильніший бік ONVIF - це його майже повсюдна підтримка сотнями виробників упродовж понад десяти років.

Однак 2020 року Dahua, HikVision, Huawei потрапили до санкційних списків США, за порушення прав людини в Сіньцзяні, і автоматом втратили можливість отримувати підтвердження відповідності стандартам ONVIF. Відсутність відповідності може означати, що продукт підтримує тільки частини ONVIF, а не повну специфікацію. І це не є добре, оскільки Dahua і HikVision найбільші світові виробники відеоспостереження. Ходять навіть розмови, що китайці можуть створити власний аналог ONVIF, що, звісно, має вкрай сумнівний вигляд, бо, наприклад, Huawei навіть свій лаунчер довести до ладу за багато років так і не вийшло.

І ця проблема набагато серйозніша, ніж здається на перший погляд, на даний момент у Dahua і HikVision купа обладнання з підтвердженням відповідності стандартам ONVIF, але навіть просте оновлення прошивки призведе до того, що підтримка злетить.

А прошивки оновлювати доведеться хоча б для того, щоб фіксувати вразливості в безпеці, яких у обох, як у дурня фантиків.

Жодні IoT, безпечні або розумні міста, та й просто великі інтегровані системи безпеки неможливі без стандартизованих протоколів взаємодії пристроїв між собою. 

Все обладнання та програмне забезпечення, яке ви використовуєте, має підтримувати останні профілі ONVIF і не просто підтримувати, а повністю підтримувати всі можливості специфікацій. Перевірити відповідність стандартам ONVIF можна на офіційному сайті. Детально про всі можливості ONVIF можна почитати в нашому огляді.

Керування системою IP-відеоспостереження

Піонер Інтернету Марк Андріссен заявив, що "програмне забезпечення пожирає світ", і я повністю з ним згоден. У наші дні, яку сферу не візьми, залізо відступає на другий план, а найцікавіше це софт.

Наприклад, годинник, саме програмне забезпечення, робить його фітнес трекером, дає змогу моніторити показники вашого здоров'я і розплачуватися на касі. У результаті чого продажі годинників Apple до 2019 року обігнали всі швейцарські бренди.  

І коли ми зачіпаємо таке важливе питання, як управління вашою системою IP-відеоспостереження, ми будемо говорити про програмне забезпечення. 

Програмне забезпечення для керування вашою системою IP-відеоспостереження повинно бути десь встановлене, нижче ми розглянемо 4 найчастіше використовуваних в IP-відеоспостереженні місця встановлення софту.

Вбудоване в IP-камеру програмне забезпечення

Використання програмного забезпечення, встановленого на IP-камері, підійде тільки для дуже маленьких систем. І на практиці такий варіант як рідко. 

Наприклад, якщо вам потрібно вбудувати онлайн трансляцію на вебсайт, ви можете використовувати IP-камери IDIS, можливості вбудованого софту яких (прошивка) дають змогу прямо на камері згенерувати HTML код для вставки у вебсторінку.

Програмне забезпечення на відеореєстраторі

Більшість відеореєстраторів розраховані на малу і середню кількість камер - найпоширенішими є на 4, 8, 16 і 32 канальні відеореєстратори. 

Здебільшого можливості для керування системою відеоспостереження за допомогою софту, встановленого на відеореєстраторові, зазвичай менш функціональні порівняно з VMS.

Програмне забезпечення (VMS) на сервері

На сервер встановлюється спеціалізоване програмне забезпечення для відеоспостереження (VMS). Програмне забезпечення являє собою єдину точку управління для декількох серверів і/або відеореєстраторів. Деякі VMS також підтримують можливості резервного копіювання в разі відмови будь-якого з пристроїв зберігання відеоархіву. 

На даний момент управління системою відеоспостереження за допомогою VMS пропонує максимально широкі функціональні можливості. Якщо ви збираєтеся використовувати для управління вашою системою відеоспостереження VMS, особливого значення набуває підтримка обраної VMS і обладнанням стандарту ONVIF.

Хмара (VSaaS)

Хмарне відеоспостереження або VSaaS є загальним терміном, існує три основні варіанти використання хмарних рішень у відеоспостереженні:

  • Хостинг відеоархіву
  • Управління
  • Гібрид, який поєднує функції керування, локального зберігання відео та хостингу відео.

Послугу хмарного відеоспостереження (VSaaS) пропонують компанії, головною послугою яких є надання послуги зберігання відеоархіву в хмарі (хостинг відео). Хмарне відеоспостереження (VSaaS) теоретично може надавати можливості, аналогічні традиційним VMS, однак на практиці багато хмарних VSaaS мають спрощені призначені для користувача інтерфейси з обмеженими можливостями налаштування, мінімальними розширеними призначеними для користувача функціями і обмеженою підтримкою IP-камер. Крім цього оператори хмарного відеоспостереження орієнтовані на продаж своїх послуг хостингу відеоархіву, за які вони стягують абонентську плату. 

Управління 

Найбільш широко використовуваними на даний момент є хмарні платформи виробників обладнання для відеоспостереження: Axis Companion, Hik-Connect від HikVision та інші. Можливість використання цих сервісів є інтегрованими в обладнання відповідних виробників, і надається безкоштовно. Як правило, це P2P відеореєстратори та P2P IP-камери. 

Збільшення попиту на можливість безпечного віддаленого доступу та управління системою відеоспостереження через інтернет, змусило наявних постачальників програмного забезпечення (VMS) та відеореєстраторів представити свої власні хмарні рішення, і в майбутньому ця тенденція буде лише посилюватися.

Відеоаналітика

Інноваційне програмне забезпечення у відеоспостереженні це те, яке пропонує можливості відеоаналітики.

У блозі вже була велика стаття на тему відеоаналітики, до того ж коротко основні функції, які використовуються в IP-камерах, було описано в розділі вище, тож постараюся не повторюватися.

Відеоаналітика це тренд, але більшості користувачів невеликих систем відеоспостереження навряд чи потрібні всі можливості й одразу. Є фічі, які заточені під вузьку спеціалізацію, наприклад, теплові карти розподілу людей у кадрі, або лічильник людей, або ідентифікація особи за зображенням у базі даних.

Є функції, які однозначно варто використовувати на апаратному рівні IP-відеокамери, наприклад, датчик руху, який доступний в абсолютно будь-якій відеокамері, в комплексі із зонами детекції. Це знизить навантаження на мережу і на записуючий пристрій (реєстратор або сервер). Функції, для яких потрібне ведення бази даних, наприклад, ідентифікація осіб або номерів, логічно виконувати централізовано на сервері або NVR, і з цієї позиції вибирати реєстратор або VMS. Ще один аргумент на користь перенесення аналітики на відеокамери - це зниження підсумкової вартості сервера й економія на ліцензіях для відеоаналізу.

Вибираємо пристрої зберігання відеоархіву

Отже, наше відеозображення пройшло обробку ISP-процесором IP-відеокамери, пройшло обробку процесором стиснення, упакувалося в пакет і потрапило в мережу. Потім цей пакет отримав пристрій, якому він призначався. Цей пристрій - реєстратор або сервер, який розпаковує пакет зі стисненим відео, відновлює його, аналізує, індексує та відправляє на зберігання. 

Перш за все, визначимося, які бувають способи зберігати відеоархів:

  • Відеокамера з підтримкою SD карт
  • Відеореєстратор (NVR) або сервер
  • Виділені мережеві сховища NAS / SAN
  • Хмарне зберігання

IP-камера

Почнемо з простого, але перспективного. Зараз багато моделей IP-відеокамер (це ще одна перевага, недоступна аналоговому HD-відеоспостереженню) підтримують роботу з SD-картами для запису відеоархіву. 

По-перше, це досить крутий децентралізований спосіб організації зберігання даних, який фактично усуває необхідність у централізованих пристроях зберігання відеоархіву. Що добре з двох причин, Перша - якщо "накривається" центральний пристрій зберігання, накривається весь відеоархів з усіх камер. Друга - кардинально падає навантаження на мережу передавання даних.

Недоліки теж, звісно, є, і перший, він же основний недолік - це втрата відеоархіву в разі втрати камери, а з огляду на те, що вуличні камери цілком собі доступні для рук зловмисників, на відміну від пристрою зберігання відеоархіву, який, як правило, перебуває за сімома замками.

Хорошим сценарієм використання SD-карт є використання їх як резервного сховища в разі втрати зв'язку з реєстратором, що дає змогу зберігати відеоархів у разі проблем зі зв'язком і загалом підвищує живучість системи відеоспостереження.

Ще недавно великою проблемою була надійність SD-карт і обмежена ємність. Але після того як Western Digital викотив на ринок свої SD-карти WD Purple ємністю до 256 ГБ і 3 річною гарантією, можна сказати, що проблему вирішено.

А з урахуванням нової пропозиції від компанії Micron, яка вказує для своєї нової SD-карти i300 напрацювання на відмову в 2 мільйони годин, що вдвічі перевищує вказане значення для жорстких дисків WD Purple, улюбленого жорсткого диска всіх інсталяторів. Крім того, ємність SD-карти i300 становить 1 ТБ, що може забезпечити до 3 місяців зберігання відеоархіву.

NVR або сервер для відеоспостереження

Перша перевага - це централізоване зберігання, коли програмне забезпечення (NVR або сервера) звертається безпосередньо до сховища відео. Можна просто під'єднати до відеореєстратора або сервера жорсткий диск, або два, і налаштувати на них збереження архіву. Але, оскільки ми тут боремося за надійність нашої системи (ще й за зручність, звісно), не варто вибирати NVR або сервер без можливості організувати на борту RAID-масив.

RAID-масив це надлишковий масив незалежних жорстких дисків (так, вам доведеться витратитися на надлишкову кількість жорстких дисків), він управляється RAID-контролером, відповідно. Чому я за серверні платформи, тому що у вас є можливість контролювати все, від оснащення нутрощів, зокрема вибрати і рейд-контролер, до вибору програмного забезпечення. Так, це дорожче, але ми ж розуміємо, що централізоване сховище - це наше все і не хочемо в разі несправності одного жорсткого диска втратити весь архів. У випадку з NVR рейд-контролер вбудований і може мати обмеження, наприклад, підтримувати тільки RAID0 і RAID1.

Поширені рівні RAID

  • RAID0 або чергування (Striping) - не забезпечує відмовостійкість, але підвищує швидкодію масиву, дані пишуться одночасно на кілька дисків, чим більше дисків у масиві, тим більша швидкість запису.
  • RAID1 або віддзеркалення (Mirroring) - відмовостійкість забезпечується паралельним записом однакової інформації на два блоки дисків. Потрібно парне число дисків. Висока вартість побудови масиву, оскільки вам потрібно рівно в 2 рази більше дисків, тобто якщо ви розрахували необхідність в 4х дисках для достатньої глибини архіву, то для побудови RAID1 потрібно 8.
  • RAID5 розподіляє інформацію разом з контрольною сумою по всіх дисках рівномірно, для створення масиву необхідно мінімум 3 диски. Надмірність масиву - 1 диск за будь-якої кількості необхідних дисків. При виході з ладу 1 диска масиву RAID5 масив стає RAID0. Вихід з ладу другого диска - критичний.
  • RAID6 майже аналог RAID5, але стійкий до відмови 2х дисків, відповідно і надмірність 2 диска. 
  • RAID10 це гібрид масивів 0+1 або 1+0, у цьому разі два дзеркала об'єднуються в масив 0 або два масиви 0 дзеркалюються. Швидкість RAID0 і надійність RAID1. Для створення необхідно мінімум 4 диски, надмірність - у 2 рази.
  • RAID50 гібрид RAID5 і RAID0. Дає високу швидкість запису і обробки даних. Відмовостійкість як у RAID5.
  • RAID51 - віддзеркалення двох масивів RAID5. Висока відмовостійкість (здатний винести відмову 5 дисків з 8). Як варіант масив RAID5 з декількох масивів RAID1, здатний працювати в разі відмови 3х дисків із 6, а це половина масиву.

У рейд-масивах використовуються /video-hdd/. Крім того, існують рейд-контролери з різними дисковими інтерфейсами: SATA, SAS. SAS або Server Attached SCSI - це вдосконалений інтерфейс шини SCSI, або сховище, яке безпосередньо під'єднується до сервера за послідовним інтерфейсом SCSI. Багато рейд-контролерів мають уніфіковані порти для під'єднання дисків і за інтерфейсом і SAS, і SATA. У принципі, знати який інтерфейс у рейд-контролера потрібно для того, щоб не помилитися з вибором інтерфейсу дисків.

Які плюси у внутрішнього сховища:

  • якщо в системі один або кілька серверів, дешевше на кожному сервері створити сховище під відеоархів, ніж створювати виділене мережеве сховище або цілу мережу під зберігання архіву.
  • немає додаткового навантаження на мережу
  • простота в реалізації
  • швидкодія

З мінусів варто згадати, що таке сховище не масштабується, тому заздалегідь потрібно розрахувати його ємність. 

У разі якщо у вас серверна платформа з рейд-контролером, то ми рекомендуємо створювати два рейд-масиви, один (наприклад, дзеркало з 2х дисків) - під систему і програмне забезпечення, а другий (наприклад, RAID5 або RAID6 або RAID 51 або RAID50) - безпосередньо під сховище відеоархіву. Розділяй і володарюй, як то кажуть.

Виділені сховища

NAS або Network attached storage
NAS це сховище, підключене до вашої мережі, можна сказати, що це додатковий сервер, заточений під зберігання даних. При цьому раз цей виділений сервер перебуває в тій же мережі, зростає навантаження на мережу. Використання NAS не характерне для систем IP-відеоспостереження. Нелогічно мати обладнання для обробки відеопотоку, яке отримує дані від відеокамер, індексує їх, а потім знову відправляє в мережу на зберігання, навантаження мережі збільшується в 2 рази. І витрати на додатковий сервер до того ж.

SAN або Storage area network
SAN це не просто самотній файловий сервер, це ціла мережа зберігання даних, побудована на топології Fiber channel. FC це сімейство протоколів для високошвидкісної передачі даних на базі оптоволоконних з'єднань. Тобто ця мережа використовує принципово інший протокол, ніж TCP/IP. 

Плюси SAN: швидкодія, надійність, масштабованість, не дає додаткового навантаження на мережу LAN. 
Мінуси: це досить дорога технологія, використовується для зберігання даних у масштабах підприємства, організація виділеної SAN має сенс у разі дуже великої та розподіленої системи IP-відеоспостереження, коли витрати на організацію локального серверного зберігання можуть конкурувати з витратами на виділену мережу SAN. 

Cloud storage або хмарне зберігання

Хмарне зберігання передбачає, що і архітектура, і обладнання надаються як послуга, яку ви оплачуєте. Є кілька варіантів реалізації взаємодії з хмарою, наприклад комплексний підхід або VSAAS (Video Surveillance As A Service), тобто, окрім витрат на відеокамери, ви не несете витрати на обробку відео, аналітику та зберігання, а купуєте цей комплекс у умовного провайдера. Або бекап відеоархіву з локальної системи в хмару.

Плюси в тому, що у вас є доступ до вашої системи цілодобово з будь-якої точки світу. Найочевидніший споживач хмарних систем - це, мабуть, міська інфраструктура, коли відеокамери встановлені на величезній площі і, тим не менш, управляються з одного місця і доступні для перегляду в режимі онлайн. 

Мінуси:

  • Якщо ви хочете скористатися VSAAS, то треба враховувати, що у провайдера може бути обмежений список виробників IP-відеокамер (або обладнання під своїм брендом), які підтримуються їхнім хмарним сервісом, тобто вибирати обладнання доведеться зі списку провайдера хмарного відеоспостереження. У деяких випадках провайдер надає прошивки для відеокамер інших виробників або вимагає виділену IP-адресу для відеокамери, у будь-якому разі виникнуть нюанси.
  • Буде потрібен широкий інтернет-канал, який оплачується на додаток до витрат на VSAAS, до того ж хоч би яким широким він не був, у нього є поріг, який подолати буде неможливо.
  • Сумнівна безпека - немає жодної гарантії, що відео з вашої спальні або кімнати переговорів не опиниться одного разу на ютюбі або у товариша майора, і ви будете останній, хто про це дізнається.
  • Сумнівна надійність - практично весь контроль за вашою системою IP-відеоспостереження ви передаєте третій стороні.

Моніторинг

Незалежно від вибору системи зберігання, вам знадобиться програмне забезпечення, яке ви будете використовувати для цілей моніторингу та управління системою відеоспостереження.

Щоб відеоспостереження було ефективним не тільки для цілей розслідування інцидентів, а й для запобігання злочинності, потрібен активний моніторинг, з боку користувачів на це нам вказують ґрунтовний метааналіз, опублікований у журналі Criminology & Public Policy. Під моніторингом мається на увазі спостереження в реальному часі, пошук інцидентів і реагування на них.

Користувачами, які здійснюють моніторинг, можуть виступати охоронці, співробітники правоохоронних органів, керівники об'єктів. Відеоспостереження зазвичай відображається за допомогою програмного забезпечення, яке можна запустити на ПК або телефоні, проте також можуть використовуватися автономні апаратні декодери.

Персональний комп'ютер / робоча станція. Найпоширеніший метод перегляду відео, програмне забезпечення або веб-додаток дає змогу аутентифікувати користувачів і декодувати відео. Витрати на обладнання ПК можуть значно зрости в міру збільшення кількості переглянутих камер, оскільки деякі додатки рекомендують декодування з апаратним прискоренням графічного процесора.

Відеостіна. Кілька екранів використовуються для динамічного перегляду камер на одній або декількох панелях. Апаратні відеостіни дуже дорогі, і для їх встановлення потрібні спеціалізовані фахівці. Клієнтські відеостіни VMS дешевші, але, як і раніше, вимагають дорогих драйверів графічного процесора і додаткового налаштування.

Смартфон. Додатки для смартфонів зазвичай підтримують від 1 до 4 одночасних переглядів у реальному часі та базові функції пошуку запису. Багато клієнтів для телефонів не пропонують аналітичний пошук і мають обмежені можливості експорту відео. 

Застосунки, встановлені на смартфон, мають набагато менше функціональних можливостей, ніж програмне забезпечення, яке використовується на ПК або з відеостінами. Однак смартфон набагато доступніший, тому можуть використовуватися смартфони користувачів.

Є у смартфона й одна гігантська перевага, він є у всіх, і він завжди з тобою, а пуші в застосунку можуть ненав'язливо й оперативно повідомляти про все, що відбувається у вашій системі. Тому це однозначно пристрій номер один для моніторингу.

Монітори для громадського перегляду. Встановлюються в місцях, доступних для загального огляду (наприклад, біля головних входів у магазин), вони підвищують обізнаність користувачів про те, що ця територія перебуває під відеоспостереженням. Зазвичай вони використовують апаратні декодери або невеликі ПК і відображають 1-4 камери.

Штучний інтелект (ШІ) як інструмент моніторингу
Кількість відеокамер перевищує всі мислимі можливості людей для їх моніторингу в режимі онлайн. Однак із приходом ШІ у відеоспостереження нарешті стає зрозуміло, як цю проблему можна вирішувати.

АІ автоматизує процес моніторингу в реальному часі, роблячи системи відеоспостереження значно ціннішими та підвищуючи попит на них. Вже на даний момент сучасні можливості відеоаналітики дають нам широкі можливості для автоматизації моніторингу, і отримання повідомлень про події замість перегляду відео онлайн.

Мережева інфраструктура

Тепер ми знаємо, як працюють IP-камери, пристрої зберігання відеоархіву, програмне забезпечення та багато іншого. Не охопленою залишилася остання, але найбільша тема - це IP-мережа. У цьому розділі ми детально розберемо це питання, починаючи з того, як взагалі мережа працює, і закінчуючи описом специфічних для відеоспостереження можливостей мережевого обладнання.

Кілька слів про те, що таке IP-мережа. Яке обладнання знадобитися для її побудови. Мережа Ethernet або IP-мережа - це сімейство технологій пакетного передавання даних між пристроями (комп'ютерами, серверами, IP-камерами, комутаторами тощо).

Робота Ethernet на фізичному рівні стандартизована IEEE 802.3, протоколи управління доступом до середовища описані в моделі OSI. Наразі для організації мережі Ethernet використовується кручена пара або оптоволокно, використання крученої пари накладає певні обмеження на довжину кабельної траси між пристроями - максимум 100 метрів, для збільшення цього параметра без використання повторювачів у лінії використовують оптоволокно.

Найпоширеніший стандарт у локальних мережах - це Fast Ethernet або 100BASE-T, швидкість передавання даних у мережах на базі цього стандарту до 100 Мбіт/сек. Ще є стандарт 1000BASE-T або Gigabit Ethernet зі швидкістю передачі даних до 1 Гбіт/сек. 

Є й інші стандарти для більш високих швидкостей, наприклад, 10 GigE для швидкостей до 10 Гбіт, наразі вони рідше використовуються у відеоспостереженні. Але для великих проектів IP-відеоспостереження використання 10-гігабітної комутації має стати стандартом.

Навіть найповільніший жорсткий диск, який буде встановлений, з надлишком подолає бар'єр, що накладається гігабітним лінком. Навіть одиничний жорсткий диск здатний забезпечити швидкість читання-запису близько 225 Мбайт/с на зовнішніх доріжках, щонайменше 110-119 Мбайт/с на найвнутрішніших і близько 150 Мбайт/с у середині. Якщо використовувати дзеркальний RAID, то швидкість читання зросте вдвічі, а якщо брати RAID 0, то вдвічі зросте швидкість запису. Таким чином, гігабітний лінк стає тим самим пляшковим горлечком, яке не дає розкритися всьому потенціалу, закладеному в пристрої зберігання відеоархіву і сучасні жорсткі диски для відеоспостереження.

Для 10-гігабітних портів обов'язкове використання кабелю категорії Cat. 6a або вище. З прицілом на майбутнє (особливо в разі прихованого прокладання, коли заміна кабелю перетворюється на пригоду) має сенс прокласти кабель категорії Cat. 8, його вже точно вистачить із запасом і надовго.
Більш високі швидкості, такі як 40 і 100 Гбіт, дуже рідкісні, дорогі і навряд чи знайдуть застосування у відеоспостереженні в найближчому майбутньому.

TCP/IP - мережева модель передачі даних, представлених у цифровому вигляді. Модель описує спосіб передачі даних від джерела інформації до одержувача. У моделі передбачається проходження інформації через чотири рівні, кожен з яких описується правилом (протоколом передачі). Набори правил, що розв'язують задачу з передачі даних, складають стек протоколів передачі даних, на яких базується Інтернет. Назва TCP/IP походить із двох найважливіших протоколів сімейства - Transmission Control Protocol (TCP) та Internet Protocol (IP). Стек протоколів TCP/IP включає 4 рівні, які практично повторюють перші 4 рівні моделі OSI і повністю реалізують її функціональні можливості: 1 - канальний рівень (фізичне середовище та кодування пакетів), 2 - міжмережевий рівень (робота протоколів IP, ARP, рівень передавання інформації всередині мережі та між мережами), 3 - транспортний рівень (робота протоколів TCP, UDP, SCTP), 4 - прикладний рівень (рівень роботи застосунків).

Для організації мережі будь-який пристрій, який ви хочете до неї під'єднати, повинен мати мережевий інтерфейс, який забезпечує взаємодію на фізичному рівні. Як правило, він уже вбудований у пристрій, якщо він призначений для використання в мережі (IP-відеокамера, комутатор, відеореєстратор), але для під'єднання клієнтських комп'ютерів або серверів вони мають бути оснащені мережевими картами (NIC). Для сервера це може бути карта з двома мережевими інтерфейсами, щоб організувати доступ одного пристрою до кількох мереж (наприклад, внутрішньої мережі відеоспостереження та загальної мережі організації). 

Кожен мережевий інтерфейс має заводський унікальний номер або mac-адресу, він потрібен пристрою для роботи на канальному рівні, після реєстрації пристрою в мережі, спеціальна служба, що називається DHCP-сервер видає йому IP-адресу (за умови, що пристрій підтримує роботу з DHCP), після цього пристрій готовий до обміну пакетами по мережі. Але це все не відбувається без участі користувача, звісно, DHCP-сервер має бути піднято на комутаторі, маршрутизаторі або на окремому сервері, має бути створено топологію мережі, визначено VLANи, виділено діапазони IP-адрес, готових до видачі в динамічному режимі, або зв'язку IP-адресу-порт на комутаторі, а також визначено винятки, тобто зарезервовані IP-адреси, які не можна видавати.

Принцип побудови мережі для IP-відеоспостереження

Існує кілька принципів організації IP-мережі для системи відеоспостереження - конвергентні та виділені мережі. 

Конвергентні мережі

Конвергентна мережа - це така мережа, в якій об'єднані різні послуги та функції, наприклад, одна мережа використовується для телефонії, інтернет-трафіку, відеоспостереження, контролерів доступу тощо. З одного боку, це спрощує побудову мережі, тому що розподіл трафіку (дротового і бездротового), узгодження протоколів і застосування єдиних політик у вашій мережі буде регулюватися вже налаштованим обладнанням, але з іншого боку, ресурс обладнання розподіляється між різними функціями, і це вимагає дуже широкого каналу. 

Якщо раптом ви додаєте в офісну мережу, яку реалізовано на одному комутаторі, IP-відеоспостереження, треба розуміти, що може викликати експлуатаційні проблеми у всіх користувачів мережі, зниження швидкості обміну даними, затримки тощо.

Друге серйозне питання - це безпека і захист даних. Постійно з'являються нові звіти про мережеві вразливості відеокамер (не тільки китайських, абсолютно різних виробників), тому, перш ніж поєднувати відеоспостереження та наявну IP-мережу, потрібно розуміти, які ризики з цим пов'язані.

Виділені мережі

З назви зрозуміло, що на відміну від конвергентних мереж у цьому разі IP-відеоспостереження (не тільки, різні функції та послуги) виділяється в окрему мережу. Це ускладнює структуру мережі, адміністрування і збільшує витрати на проєктування та обладнання, але підвищує надійність, безпеку, живучість і знижує навантаження на кожну окрему мережу.

Комутатори та маршрутизатори

Мережеве обладнання, яке варто вибирати для системи відеоспостереження, має свою специфіку. Наприклад, функція автоматичного відновлення IP-камери, у разі виявлення збою в роботі. Комутатор повинен автоматично перезапускати її і намагається відновити її працездатність. Для мережевого обладнання з підтримкою PoE важлива безперервність подачі живлення навіть під час обслуговування мережевого обладнання, оновлення прошивки або конфігурації.

За результатами опитування професійних інтеграторів систем відеоспостереження, мережеве обладнання двох брендів - Cisco і Ubiquiti - сильно превалює над усіма іншими. Якостей, які змушують інтеграторів зупиняти свій вибір на них, багато, але превалюючими будуть - гарний рівень "ціна/якість", і високий рівень надійності.  

Але перш ніж, як розповісти про ці мережеві пристрої та їхні відмінності, треба згадати про мережеву модель OSI (Open System Interconnection). Якщо коротко, то мережева модель OSI або модель стека мережевих протоколів визначає різні рівні взаємодії систем і пристроїв. 

У моделі OSI 7 рівнів взаємодії: 

1 рівень - це рівень фізичної взаємодії (двійкові дані, концентратори, немає адресації), на 2 рівні з'являється фізична адресація (mac-адреса мережевого пристрою), на цьому рівні працюють комутатори і точки доступу, 3 рівень - рівень логічної адресації та визначення маршруту (IPv4, IPv6, IPsec), на цьому рівні працюють маршрутизатори. Рівні 4 - 7 - це рівні взаємодії хостів.

Комутатор - це основний мережевий пристрій в IP-мережі. Він фактично створює вашу мережу з розрізнених пристроїв (відеокамери, комп'ютери, сервери). Керований комутатор може розбити під'єднані пристрої в логічні групи або VLAN (Virtual LAN або віртуальна мережа), пристрої в межах одного VLAN будуть невидимі для пристроїв в інших логічних групах. 

Це зручно для організації виділеної мережі з конвергентної, для обмеження широкомовного (розсилається всім пристроям мережі) трафіку, звільнення мережевих ресурсів тільки під потреби цієї підмережі. Так само пристрої, фізично під'єднані до різних комутаторів, можна включити в один VLAN і вони будуть доступні один для одного. Для зв'язку між комутаторами або комутатором і маршрутизатором на комутаторі призначаються транкові (або магістральні) порти.

Маршрутизатор (або роутер) працює на наступному рівні моделі OSI. Цей пристрій використовується для об'єднання декількох мереж, підключення до глобальної мережі Інтернет (порт WAN), маршрутизації трафіку між мережами (наприклад, локальною та бездротовою), забезпечують безпеку мережі (брандмауер, міжмережевий екран), організація захищених каналів VPN. Зазвичай, один або кілька комутаторів і бездротових точок доступу підключаються до одного маршрутизатора організації, а він, своєю чергою, забезпечує доступ до Інтернету. Існують гібридні пристрої, які об'єднують у собі функції і маршрутизатора, і комутатора, мають кілька (або багато) портів LAN для локальної мережі, наприклад, домашні роутери для під'єднання інтернету, бездротових і звичайних мережевих пристроїв.

Проектування системи IP-відеоспостереження будується від простого до складного. Для початку ви визначаєте, скільки вам потрібно відеокамер, яку сцену вони повинні спостерігати і що ви хочете отримати від цього спостереження (які тривоги, необхідність аналітики або досить базового детектора руху, периметр це або вхід, зовнішня камера або внутрішня, як далеко вони розташовані від місця розміщення центрального обладнання і т.д.). 

Після цього ви визначаєте, яке центральне обладнання вам підходить, чи достатньо одного або декількох відеореєстраторів, чи потрібен сервер і VMS з потужною аналітикою. І виходячи з цих даних, розраховуєте потужність мережевого обладнання, яка кількість комутаторів, з PoE або без, чи потрібна виділена мережа або можна використовувати загальну.

Дальність передавання даних

Використання крученої пари накладає певні обмеження на довжину кабельної траси між пристроями - максимум 100 метрів, однак для збільшення цього параметра можна використовувати повторювачі та пристрої посилення сигналу.

Однак обмеження на 100 метрову дальність передавання сигналу IP-мережею на базі крученої пари можна подолати, використовуючи подовжувачі Ethernet або медіаконвертери.

Медіаконвертери, звісно, найнадійніший спосіб подовжити лінію зв'язку - це оптоволоконні та не забудьте про грозозахист, якщо встановлюватиметься вуличне відеоспостереження.

Пропускна здатність мережі

Пропускна здатність мережевого обладнання або мережі (це як швидкість в автомобілі - залежність від часу) вимірюється кількістю інформації, що передається, у бітах на секунду.

Зазвичай відеопотік від однієї IP-відеокамери або бітрейт вимірюється в мільйонах біт (або мегабіт) за секунду, поширений діапазон 1 - 4 Мбіт/сек для IP-камер з роздільною здатністю до 2 Мп і 4 - 8 Мбіт/сек для камер з роздільною здатністю до 4 Мп. 

Від бітрейта відеокамери залежить завантаження вашої мережі. Бітрейт - це не фіксована величина, на нього впливають різні чинники: роздільна здатність відеокамери, частота кадрів, кількість руху в кадрі, кількість об'єктів у кадрі, навіть шуми за слабкого освітлення. 

Наприклад, відеокамера роздільною здатністю 1 Мп, спрямована на офісний коридор, у неділю за мінімального руху може видавати бітрейт 1 Мбіт/сек, а в понеділок, за великої кількості руху, - 4 Мбіт/сек. Щоб уявляти, яке навантаження очікується на мережу, потрібно розрахувати сумарний бітрейт за всіма відеокамерами. Підключившись безпосередньо до відеокамери, можна дізнатися, який у неї бітрейт у різних сценах.

У самій IP-відеокамері є налаштування, що дають змогу керувати бітрейтом, вибрати постійний, змінний або усереднений бітрейт.

CBR
CBR або Constant bitrate - постійний бітрейт, перед кодуванням відеопотоку задається розмір бітрейта, який у будь-якому разі не буде перевищено. Але треба розуміти, що чим більше руху в кадрі, чим більше об'єктів, тим більшим буде стиснення, щоб укластися в заданий бітрейт, що в результаті може значно погіршити кінцеве зображення.

VBR
VBR або Variate bitrate - змінний бітрейт. Перед стисненням відеопотоку кодек сам обирає оптимальний розмір бітрейта, що відповідає встановленій якості зображення. У цьому разі у вас завжди буде зображення хорошої якості, але пікове навантаження на мережу може відрізнятися в кілька разів.

ABR
ABR або Average bitrate - усереднений бітрейт. З одного боку, користувач задає розмір бітрейта, як у разі CBR, але водночас задає і допустиме відхилення від цього розміру, тобто в складних сценах кодек може збільшити розмір пакета відповідно до заданого відхилення.

Що стосується мережевого обладнання, зараз поширені моделі оснащуються портами, що мають швидкість: 100 Мбіт, 1 Гбіт, 10 Гбіт. Якщо для підключення IP-відеокамери до комутатора достатньо порту на 100 Мбіт, то для зв'язку із сервером або реєстратором потрібно розрахувати достатню пропускну здатність порту для потокового відео від усіх відеокамер системи.

POE в IP-відеоспостереженні

PoE або Power over Ethernet - це технологія передавання живлення і даних по одному кабелю. Використання PoE дає змогу економити на окремих джерелах живлення та кабелі для під'єднання джерела живлення до камери. Спрощує монтажні роботи, зменшує кількість точок відмови.

Технологія PoE була стандартизована IEEE 802.3 з 2003 року, існує 3 стандарти PoE:

  • 802.3af - підтримувана потужність на порту до 15.4 Вт, є "стандартним" PoE, використовуваним більш ніж 90% наявних IP-камер із підтримкою PoE.
  • 802.3at - підтримувана потужність на порту до 30 Вт, що використовується невеликою частиною IP-камер, яким потрібно від 15,4 Вт до 30 Вт. Найчастіше потрібен під час роботи з PTZ-камерами з підтримкою PoE і IP-камерами з вбудованими нагрівачами і підтримкою PoE.
  • 802.3bt - підтримувана потужність на порту до 100 Вт, що перевищує потреби майже всіх IP-камер, і навряд чи буде широко використовуватися у відеоспостереженні.

Усередині стандартів існує 9 класів PoE:

  • 802.3af class 0 - потужність 0.44 - 15.4 Вт
  • 802.3af class 1 - потужність 0.44 - 4 Вт
  • 802.3af class 2 - потужність 4 - 7 Вт
  • 802.3af class 3 - потужність 7 - 15.4 Вт
  • 802.3at class 4 - потужність 15.4 - 30 Вт
  • 802.3bt class 5 - потужність 45 Вт
  • 802.3bt class 6 - потужність 60 Вт
  • 802.3bt class 7 - потужність 75 Вт
  • 802.3bt class 8 - потужність 90 Вт

Камери з підтримкою PoE зазвичай підключаються за допомогою:

  • Мережевого комутатора з підтримкою PoE
  • Маршрутизатора з підтримкою PoE
  • PoE інжектора
  • Відеореєстратора з вбудованим комутатором PoE

Мережевий комутатор, безумовно, є найбільш часто використовуваним обладнанням для забезпечення живленням по IP-камер з PoE. Рідше використовуються PoE інжектори та відеореєстратори з вбудованим комутатором PoE.

Крім трьох стандартів і дев'яти класів PoE, є відмінності, за якими контактами подається живлення від джерела: PoE-A і PoE-B. У варіанті PoE-А живлення подається за тими самими парами, що й дані, для PoE-В використовуються порожні пари. Більшість пристроїв PoE автоматично визначають, які пари використовуються для подачі живлення, і не залежать від вибору A або B. Однак деякі пристрої можуть підтримувати PoE тільки типу B.

На додаток до стандартів 802.3af/at існує так званий пасивний PoE, який подає 12 або 24 Вт постійного струму на невикористовувані пари без процесу узгодження, як у стандартизованому PoE. Живлення на ці пари подається незалежно від того, запитує його кінцевий пристрій чи ні. У деяких випадках кінцеві пристрої (відеокамери) можуть працювати з пасивним PoE без проблем, але якщо на відеокамері не вказано явно, що її можна використовувати з пасивним PoE, то краще не ризикувати. 

Під час під'єднання PoE-відеокамери до PoE-комутатора відбувається процес узгодження, під час якого пристрій і комутатор визначають правильну напругу і потужність і визначають, який клас буде використовуватися. Цей процес швидкий, займає всього кілька секунд і проходить без участі користувача. 

Під час використання PoE комутаторів. Потрібно правильно розрахувати необхідну потужність PoE-комутатора. Якщо на комутаторі не вказано явно клас PoE, а тільки стандарт 802.3af, то за замовчуванням на PoE-портах доступно від 0,44 до 15 Вт, і комутатор видає ту потужність, яка фактично потрібна під'єднаному пристрою, це може бути і 6 Вт, і 12 Вт. У цьому разі важлива сумарна доступна потужність комутатора, якщо сумарна необхідна потужність усіх відеокамер перевищує бюджет потужності комутатора, то якісь відеокамери просто не запрацюють, або будуть постійно хаотично відключатися. 

Деякі комутатори з недорогого сегмента надають PoE не на всіх портах, наприклад, з 8 портів лише 4 будуть PoE-портами, це теж слід враховувати під час вибору обладнання.

На сьогодні PoE підтримується і більшістю професійних IP-камерах, і ми рекомендуємо його використовувати у всіх випадках, коли тільки можна.

Подовжувач PoE

Для ситуацій, що вимагають передачі PoE на відстань понад 100 м, доступні подовжувачі PoE. Подовжувачі PoE можуть забезпечувати збільшення відстані передавання живлення і даних до 600 метрів. Зазвичай це досягається завдяки використанню більш високих напруг (70-80 В постійного струму) для врахування падіння напруги на великих відстанях.

У різних виробників можна знайти мережеве обладнання з вбудованим посиленням сигналу, наприклад комутатори від Zyxel, вони дають змогу передавати пакети від IP-відеокамер на відстань до 250 метрів. Мінус: не всі порти таких комутаторів підтримують режим збільшеної дальності зв'язку. 

Крім того, для збільшення дальності, так звані екстендери (подовжувачі PoE), найцікавіше ті, яким не потрібне додаткове живлення, а достатньо живлення від PoE. Можна використовувати такі штуки кожні 100 метрів. Мінус: для живлення і відеокамери, і екстендера використовується живлення PoE одного порту, потрібно розрахувати потужність комутатора, щоб його вистачило на всі пристрої в лінії.

Бездротове передавання даних

Бездротове підключення обладнання для відеоспостереження є унікальним рішенням, яке значно розширює інструментарій проєктувальника. Тому камери з Wi-Fi модулем розлітаються як гарячі пиріжки.

Попри це ми рекомендуємо використовувати бездротові рішення тільки якщо використання дротових набагато дорожче.
Причина цього в тому, що застосування та експлуатація бездротових мереж є набагато більш ризикованим і в підсумку більш дорогим, ніж для дротових мереж. 

Під час використання бездротових систем виникають набагато серйозніші проблеми, ніж під час використання дротів, а саме: обмежена пропускна спроможність, перешкоди під час передавання сигналів, підвищена вартість експлуатації, постійні загрози, пов'язані з кібербезпекою, та обмеження щодо масштабованості.

Однак найближчим часом, нові технології бездротового зв'язку 5G і Wi-Fi 6 (E) можуть змінити все. І це буде не косметична зміна, а зміна парадигми.

Уже зараз плати масових Wi-Fi 6 (E) роутерів за дефолтом містять слоти під 5G модулі.

Це означає, що такі плати від самого початку проєктуються під конвергенцію з 5G. 
Схоже що через пару-трійку років роутер без 5G модуля буде вважатися неповноцінним. І нам доведеться добряче переписати цей розділ, і це той випадок, коли нам не терпиться до цього розпочати.

Доступ до системи відеоспостереження через інтернет

В останні кілька років дедалі більше користувачів використовують мобільні додатки та пристрої як один зі способів доступу до системи відеоспостереження. Однак організація віддаленого доступу створює загрозу безпеці всієї системи, і вимагає складної конфігурації мережевого обладнання.
Наша статистика показує, що майже 70 всіх систем відеоспостереження мають можливість віддаленого перегляду.

Існує 5 поширених варіантів створення віддаленого доступу для відеоспостереження:

  • Перенаправлення порту
  • Універсальний Plug and Play (UPnP)
  • Динамічний DNS
  • Хмарні сервіси
  • Віртуальні приватні мережі (VPN)

Перенаправлення портів

Перенаправлення або прокидання портів зіставляє приватну IP-адресу NVR або IP-камери із загальнодоступною IP-адресою маршрутизатора користувача, щоб вона могла бути доступною віддалено. Перше, що для цього необхідно - це статична або "біла" зовнішня IP-адреса вашого роутера або маршрутизатора. Зовнішня IP-адреса надається провайдером інтернет-послуг і часто буває, що безкоштовно провайдер надає динамічну IP-адресу.

Для доступу до відеокамери або NVR найчастіше використовують порти 80 (доступ до веб-інтерфейсу за HTTP), 8000 (SDK-порт для доступу до VMS або NVR), 554 (потокове відео RTSP). Деяке обладнання вимагає відкриття додаткових портів для налаштування, керування або аутентифікації. Перенаправлення портів налаштовується на роутері (маршрутизаторі), це можуть бути налаштування NAT або налаштування переадресації - залежить від моделі роутера.

Слід врахувати, що якщо кілька пристроїв мають бути доступні через Інтернет, то їхні внутрішні порти мають бути прокинуті на різні зовнішні порти.
Наприклад, якщо два NVR повинні переглядатися віддалено з використанням IP-адреси 145.10.234.12, і обидва використовують порт 80, зіставлення можуть виглядати наступним чином:
NVR1: 145.10.234.12:8080 ---> 192.168.3.8:80
NVR2: 145.10.234.12:8081 ---> 192.168.3.9:80

Динамічний DNS

Якщо інтернет-провайдер усе-таки не надав вам статичну зовнішню IP-адресу, а вимагає за цю послугу грошей, то динамічний DNS може бути виходом зі становища. Динамічний DNS налаштовується також на роутері (маршрутизаторі) і застосовується для призначення постійного доменного імені пристрою, за яким до нього можна звернутися (замість звернення за IP-адресою). Однак це постійне красиве доменне ім'я надається стороннім хостингом, наприклад DynDNS або no-IP, де треба зареєструватися і створити ім'я для свого хоста, ці послуги можуть бути платними. 

Плюси: на перший погляд це непоганий спосіб, можна підібрати гарне ім'я хоста, яке легко запам'ятовується. 

Мінуси: послуга такого хостингу коштує близько 50$ на рік. Потрібно трохи спітніти, щоб знайти безплатний сервіс хостингу, але зазвичай він "умовно" безплатний, є обмеження за швидкістю, або за кількістю звернень через цей хостинг на місяць, або щось іще.

Universal Plug and Play (UPnP)

Універсальний Plug and Play (UPnP) - це набір протоколів, які автоматизують виявлення та налаштування пристрою в локальній мережі. Однією з цілей UPnP є усунення ручної переадресації портів, що дає змогу пристрою, на якому ввімкнено налаштування UPnP, автоматично створювати зіставлення портів у маршрутизаторі без будь-якого втручання користувача. Відповідно це налаштування має підтримуватися і роутером (маршрутизатором), і пристроями всередині локальної мережі, наприклад, NVR та IP-відеокамерами. 

Однак UPnP не використовує авторизацію за логіном/паролем після прокидання порту та звернення до пристрою, що робить вашу мережу небезпечною та створює вразливість. 
Найгірший варіант з усіх можливих, гігантська діра в безпеці вашої мережі. 

Хмарні сервіси

Багато виробників обладнання для відеоспостереження пропонують свої хмарні сервіси замість ручного прокидання портів або UPnP, оскільки для звичайного користувача це може бути складно і тягне за собою велику ймовірність помилок. Хмарні з'єднання являють собою захищене з'єднання і не вимагають знання мереж або якихось складних мережевих налаштувань від користувача.

Поширені хмарні платформи виробників обладнання: Axis Companion, Hik-Connect, FLIR Cloud і багато інших. 

Можливість використання цих сервісів є інтегрованими в обладнання відповідних виробників і надається безкоштовно під час купівлі обладнання. Як правило це P2P відеореєстратори та P2P IP-камери.

Хмарні з'єднання зазвичай виконуються через безпечний тунель з використанням протоколу захисту транспортного рівня TLS, який налаштовується приблизно таким чином:

  • Пристрій, що ініціює, відправляє повідомлення на хмарний сервер для запиту з'єднання.
  • Сервер надсилає відповідь разом із сертифікатом безпеки.
  • Безпечний тунель налаштовано.
  • Коли тунель з TLS встановлено, дані, що передаються через нього, шифруються, а дані протоколу захисту приховуються.

Для управління камерою і потокового передавання використовуються типові протоколи, такі як HTTP (S), RTSP, TCP, UDP.
Варто звернути увагу на те, що хоча хмарні служби можуть бути безпечнішими, оскільки відео та інші дані передають через захищений тунель, контроль над безпекою переноситься з користувача на компанію розробника, що надає послугу, якщо зламають хмарний сервіс, то і ваша система може бути зламана. У хмарного сервісу компанії HikVision, яка називає себе №1 виробником у світі, було виявлено критичну вразливість, що дає змогу отримати доступ до перегляду відео з камери.

Ну або якщо держави або провайдери будуть обмежувати доступ до закордонних серверів, так було коли Роскомнадзор намагався заблокувати месенджер Telegram, ваша система відеоспостереження теж накриється мідним тазом. Тоді через блокування IP-адрес Amazon перестали працювати розташовані на них P2P-сервіси віддаленого доступу до камер - Dahua, Hikvision.

Плюси: Дуже просто налаштувати. Можна обійтися без відеореєстратора, ви підключаєте камеру до хмари (зазвичай це робиться через застосунок, що йде разом навіть із китайськими IP-камерами), і ваша домашня система відеоспостереження майже завжди і майже скрізь вам доступна.

Мінуси: Обмеження щодо вибору обладнання, як правило, виробник IP-відеокамер якщо надає хмарний сервіс, то тільки для свого обладнання. Уразливість IP-відеокамер і хмарних платформ, зламають їх, а відеоспостереження позбудетеся ви. Швидкість роботи теж фактор, який ви не контролюєте, наприклад у Hik-Connect від компанії HikVision періодично спостерігаються серйозні проблеми.

VPN

Найбільш безпечним варіантом для об'єднання віддалених IP-пристроїв є виділений VPN (Virtual Private Network), з використанням програмно-апаратних засобів, які забезпечують захищене з'єднання між пристроями через іншу мережу (наприклад, Інтернет) з низьким або невідомим рівнем довіри. Таким чином VPN складається з двох частин: внутрішня (приватна) мережа або кілька мереж і зовнішня мережа, по якій проходить інкапсульоване з'єднання (найчастіше використовується Інтернет). 
VPN це віртуальний захищений тунель поверх реального незахищеного з'єднання, яким ви можете з'єднати кілька розрізнених серверів в одну мережу (або під'єднати віддалених клієнтів до вашої приватної мережі), якщо між ними є лише публічна мережа. 

Оскільки йдеться про програмно-апаратний спосіб організації захищеного з'єднання, треба розуміти, що якийсь програмний сервіс використовується поверх якогось пристрою. Це може бути смартфон, сервер, роутер, на який встановлюється спеціальний VPN-сервіс (OpenVPN, WireGuard, NordVPN), що забезпечує безпечне з'єднання, це можна зробити вручну, і, найчастіше, такий сервіс платний. До того ж, при постійно активному VPN швидкість підключення до глобальної мережі може падати. 

Ще один варіант - це купівля маршрутизатора з уже встановленим VPN-сервісом, ліцензія на цей сервіс теж буде платною, але це готовий налаштований пристрій. Такі рішення пропонують виробники професійного мережевого обладнання, наприклад, Cisco або Zyxel (звісно, є компанії, які пропонують маршрутизатори і для домашнього використання з попередньо встановленим VPN-сервісом, узагалі, багато компаній нині розвиваються в напрямі не просто продажу послуг, а розвитку екосистеми, мета якої запропонувати користувачеві цілий пакет послуг, зокрема й захищені з'єднання).

Кібербезпека

У 2020 замислюватися про кібербезпеку повинен кожен, і вже точно кожен, у кого є гроші.

Якщо ви не відома особистість або топ-менеджер великої компанії, то навряд чи хакери будуть цікавитися конкретно вами. Однак це зовсім не означає, що ви не станете об'єктом злому. Просто це буде не персональна атака проти вас, а автоматизована атака. Це коли хакерська програма шукає потенційних жертв і намагається застосувати стандартний алгоритм злому. Приблизно так був створений ботнет Mirai, що складається з майже 500 000 пристроїв (в основному китайських IP-камер). 

Якщо ви досі не думаєте, що це серйозно, то почитайте дику історію про хлопця, якому 11 років колонії виписали за незапароленний Wi-Fi, а незапароленний від зламаного, в цьому сенсі, мало чим відрізняється.

Кількість кіберзлочинів зростає астрономічними темпами.

З огляду на все вищеописане про безпеку вашої системи відеоспостереження краще подумати до введення її в експлуатацію. Відповідально підійти до вибору не тільки IP-камер, як основного обладнання, а й реєстраторів і мережевого обладнання теж. Друге питання - це фізична безпека, тобто вибір приміщення, де буде розташовуватися центральне обладнання та обмеження доступу до нього.

Уразливості обладнання для IP-відеоспостереження

Зазвичай уразливість - це якесь слабке місце в коді прошивки (операційної системи, мережевого застосунку або служби) мережевого пристрою, що називається Backdoor (чорний вхід). Цю вразливість не видно звичайному користувачеві, можливо, ви навіть поміняли всі рутові налаштування і придумали складний пароль, але деякий набір команд дає змогу отримати доступ до вашого мережевого пристрою досвідченому користувачеві.

Дослідники постійно виявляють уразливості:

  • Витік даних користувачів із серверів WizeCam, включно з адресами електронної пошти, іменами користувачів, Wi-Fi SSID і багато іншого.
  • Вразливість IP-відеокамер Bosch - критична вразливість, яку однак важко виявити, і для її використання потрібні навички злому.
  • Критична вразливість IP-камери Hikvision. Використання цієї вразливості дає змогу зловмиснику захопити пристрій або призвести до збою камери.
  • Уразливість Sony Talos дає змогу виконувати команди без облікових даних адміністратора.
  • Вразливості Axis, виявлені групою VDOO - надає кореневий доступ до відеокамери, проте процес атаки складний і вимагає додаткових знань Linux і навичок злому.
  • Вразливості GeoVision засновані на переповненні стека дають змогу отримати доступ до пристрою з рутовими правами, а також відображення всіх облікових даних у вигляді відкритого тексту.
  • Бекдор IP-відеокамер і реєстраторів Dahua, що дає змогу отримати облікові дані користувача, включно з хешами паролів, і використовувати ці облікові дані для обходу перевірки автентичності.
  • Уразливість Hikvision Cloud Security, яка дала змогу зловмиснику віддалено захопити сервер і отримати доступ до конфіденційних даних клієнта.

Виробники їх закривають, але не так швидко, і не так постійно, а іноді і взагалі не закривають. Особливо це стосується OEM виробників, у яких просто немає ресурсів фіксувати знайдені вразливості. Імовірність що на нашому ринку ви купите OEM відсотків 60.

Вразливості обладнання для IP-відеоспостереження - це пів біди, вразливостей мережевого обладнання не менше. Ось список вразливостей у базі CVE кого-небудь D-link, до речі скориставшись пошуком, можете подивитися за будь-яким іншим брендом. Тому, навіть для відеоспостереження кібербезпека це не тільки безпека спеціалізованого обладнання для відеоспостереження, це безпека в цілому IP-мережі.

На чому будується кібербезпека вашої IP-мережі:

  • Надійний пароль. Паролі за замовчуванням мають бути змінені для всіх мережевих пристроїв, мають бути змінені після першого ввімкнення в мережу. Надійним вважається цифро-буквений пароль з використанням не менше 8 символів у різних регістрах. Досі не всі мережеві пристрої вимагають примусової зміни пароля після першого запуску, просто треба запам'ятати, що ця процедура обов'язкова, як почистити зуби вранці. Не використовуйте один пароль на всі пристрої.
  • Брандмауери та віддалений доступ. Гарненько подумайте, чи так вам потрібен віддалений доступ у вашій мережі. Мова не тільки про відеокамеру, а й про сервер або реєстратор. Використовуйте брандмауери, якщо все-таки віддалений доступ потрібен.
  • VLAN або виділена мережа. Навіть якщо підприємство у вас невелике, магазин на 10 камер, не використовуйте загальну мережу для відеоспостереження, використовуйте можливості мережевого обладнання для виділення віртуальної мережі під відеоспостереження або купіть додатковий роутер.
  • Вимкнення невикористовуваних портів комутатора. Цей крок убезпечить вас від примусового підключення до вашого комутатора через вільний роз'єм. Ще один варіант - стопорні заглушки на порти, вони фіксують дріт у роз'ємі або блокують порожній порт, і їх можна зняти тільки спеціальним ключем.
  • Вимкнення невикористовуваних сервісів. Невикористовувані служби на робочих станціях і серверах потрібно вимкнути (ми зараз говоримо про платформи на операційних системах Microsoft), особливо, якщо ваша система має вихід у глобальну мережу. Це можуть бути різні служби оновлень Microsoft, веб-служби тощо, за можливості зробити запуск цих служб вручну.
  • Оновлення прошивки пристроїв. Не варто ігнорувати оновлення прошивки відеокамер і відеореєстраторів, маршрутизаторів і комутаторів, зазвичай нові прошивки виходять після виявлення вразливостей або інших серйозних косяків.
  • Фільтрація за mac-адресами. Адмініструвати виділену мережу під відеоспостереження не дуже складно, оскільки додані в неї пристрої (сервери, реєстратори, відеокамери, комутатори, якісь сервісні мережеві пристрої) доволі статичні, і нові пристрої з'являтися в ній не повинні. Досить додати mac-адреси всіх цих пристроїв до білого списку і ввімкнути на комутаторі фільтрацію за mac, для цього комутатор має бути керованим.
  • VPN і міжмережеві екрани. Використовуйте якісне мережеве обладнання, яке підтримує ці функції захисту, особливо за необхідності організації доступу до глобальної мережі або якщо у вашій мережі є незахищені сегменти, наприклад, організовано бездротовий гостьовий доступ.
  • Фізичний захист. Це важлива частина організації безпеки. Приміщення з мережевим обладнанням, сховищем, сервером тощо має бути захищене фізично від доступу сторонніх, і це має бути автоматизована система контролю доступу з блокуванням усіх входів і виходів. Розташуйте все обладнання, яке відноситься до вашої системи відеоспостереження в одному приміщенні, а не там, де є місце. 

Крім загальних рекомендацій описаних вище, що само по собі не мало, потрібно розуміти, що зусилля виробників обладнання на ниві забезпечення кібербезпеки є в підсумку вирішальними. 

Більшість інтеграторів/монтажників/продавців обладнання для відеоспостереження не дбають про кібербезпеку, навіть якщо вони розуміють можливі наслідки, а виробники вже думаю і практично кожен серйозний вендор випустить власні рекомендації щодо забезпечення кібербезпеки.

14.11.2022

При перепечатке, активная ссылка на сайт источник обязательна
Другие статьи раздела
Відмінності в системах відеоспостереження орієнтованих на інсталяцію у власному будинку і на встановлення в офісі, безумовно, є. При цьому, можна з повною ...
RemontVDome.com.ua - Строительство, ремонт квартир. Компании, статьи, фото дизайна интерьера
Copyright 2010-2024