+7 831 423-67-03 Обсудить задачи
Главная / Стандарты ИТ-инфраструктуры / Глава 6. Видеонаблюдение
Глава 6 Системы безопасности ~14 минут чтения

Видеонаблюдение: не совсем ИТ, но без ИТ — не работает

Камеры обычно ставят профильные подрядчики — и в своей части они сильны. Но там, где видеонаблюдение упирается в сеть, питание и удалённый доступ, начинаются казусы: камеры зависают, диск кончается, регистратор взламывают.

Версия статьи:
С чего всё начинается

Камера висит. А работает ли — никто не знает

В большинстве компаний есть камеры. У большинства этих камер есть проблемы. И узнают про них обычно только тогда, когда камера уже понадобилась.

Сразу важное уточнение. В идеале видеонаблюдение — это не ИТ. Этим занимается отдельная индустрия: компании, специализирующиеся на видеонаблюдении, проектировщики слаботочки, специалисты по безопасности. Они знают, какую камеру повесить, под каким углом, какой объектив подобрать, чтобы человека было видно с двадцати метров. Если у вас такие подрядчики есть — отлично.

Беда в том, что эти подрядчики обычно тоже не ИТ. Они хорошо знают свою часть, но там, где видеонаблюдение упирается в сеть, питание и удалённый доступ — начинаются казусы. Питание — через дешёвый инжектор или «12 вольт по свободным жилам витухи». Удалённый доступ — «прокинули порт на регистратор, чтобы шеф мог смотреть со смартфона». А потом удивляются, почему то одна камера зависает, то записей не хватает, то школьники пускают матерные звуки в офис через встроенный динамик.

Эта глава — про те самые места, где видеонаблюдение пересекается с ИТ. Не про то, где вешать камеру — это должен сказать профильный специалист. А про то, что нужно сделать со стороны инфраструктуры, чтобы система проработала годами: не зависала, не теряла записей, не светила в интернет и в нужный момент действительно дала чёткую картинку.

Контекст

Видеонаблюдение живёт на стыке двух индустрий

Системы видеонаблюдения — отдельная отрасль со своей школой подрядчиков. Но часть системы работает на ИТ-инфраструктуре: сеть, питание, серверы, удалённый доступ. Именно на этом стыке возникает большинство проблем.

Профильные интеграторы видеонаблюдения сильны в своей части: подбор камер, расчёт зон обзора, кронштейны, прокладка кабеля по стандартам слаботочки. А вот сетевая и серверная части для них — смежная область, и решают они её обычно по принципу «лишь бы заработало»: камеры включаются в первый попавшийся свитч, питание идёт через копеечные инжекторы, регистратор стоит «где получилось», удалённый доступ делается через проброс порта на роутере.

Каждое из этих решений по отдельности — технически рабочее. Камера с инжектора заработает, проброс порта позволит смотреть видео из дома. Но в сумме это даёт систему, которая не выдерживает реальной эксплуатации: камеры зависают и отваливаются, диск кончается раньше расчётной глубины, а взломать такую систему может школьник — у нас в практике был именно такой случай, когда через незакрытый UPnP подростки заходили на камеры с простыми паролями и шутки ради пускали через встроенный динамик случайные звуки.

В этой главе — что должно быть со стороны ИТ, чтобы система видеонаблюдения работала надёжно. Не про оптику и углы обзора (это компетенция профильного подрядчика), а про четыре пересечения с ИТ-инфраструктурой: сеть, питание, хранилище и удалённый доступ.

Сравнение

Как не надо — и как надо

Сравнение двух систем видеонаблюдения, у которых снаружи одна и та же задача — «чтобы было видно, что происходит». Но изнутри это два разных подхода: один проработает 10+ лет, второй начнёт глючить через полгода и упадёт окончательно через два.

Как не надо

Сборка «как удобно»

  • Камеры разных производителей, купленные в разное время — кто что нашёл в магазине
  • Питание через копеечные инжекторы или вообще «12 вольт от блока, прямо по витой паре»
  • Камеры включены в первый попавшийся свитч, в ту же сеть, что и компьютеры
  • Регистратор — китайская коробка из 2010 года, с кривым веб-интерфейсом через Internet Explorer
  • Удалённый просмотр — «прокинули порт на роутере, чтобы шеф мог смотреть со смартфона»
  • Пароль на всех камерах одинаковый. Часто — заводской
  • Записи хранятся столько, сколько влезло на диск. Никто не считал заранее
Как надо

Спроектированная система

  • Камеры одного класса, желательно одного производителя — единый стандарт, единое управление
  • Питание по тому же кабелю, что и данные (PoE), с управляемого свитча с запасом по мощности
  • Отдельный сегмент сети для камер — они не видят рабочие компьютеры, и наоборот
  • Полноценный сервер видеонаблюдения — масштабируется, обновляется, нормально экспортирует записи
  • Удалённый просмотр — через защищённое подключение (VPN), а не «открытый порт в интернет»
  • У каждой камеры свой пароль, прошивки обновляются по расписанию
  • Объём диска посчитан под нужную глубину архива заранее, с запасом на рост
Сравнение подходов

Самосборное хозяйство против спроектированной инфраструктуры

Основные отличия — не в самих камерах, а во всём, что вокруг них: как они питаются, в какую сеть включены, чем управляются, и как организован доступ к архиву. Камера от приличного вендора без поддерживающей инфраструктуры работает не лучше, чем noname.

На коленке

«Лишь бы работало»

  • Камеры: разнобой из разных партий, часть аналоговых, часть IP — нет единого стандарта подключения
  • Питание: дешёвые PoE-инжекторы или 12 В прямо по «свободным парам» — на длинных линиях идёт просадка напряжения, камеры часто зависают
  • Сеть: неуправляемый свитч общего назначения, камеры в одной сети с рабочими ПК — никакого разделения трафика
  • Регистратор: готовый NVR за 10 000 ₽, один диск, фиксированное число каналов, прошивка не обновляется
  • Удалённый доступ: проброс порта на роутере или встроенный «P2P-облачный сервис» производителя — оба варианта светят устройство в интернет
  • Учётные записи: пароль admin / admin или единый пароль на всех устройствах
  • Хранилище: один HDD «на сколько хватит», без расчёта битрейта и глубины архива
Стандарт

Спроектированная система

  • Камеры: IP-камеры одного класса от одного вендора, совместимые с открытым стандартом ONVIF
  • Питание: PoE от управляемого свитча, рассчитанный бюджет мощности, качественный медный кабель
  • Сеть: отдельный VLAN для камер на управляемом свитче — камеры изолированы от рабочей сети и не имеют выхода в интернет
  • Сервер: полноценный сервер с системой управления видео (VMS) — RAID-массив с дисками, современные кодеки, журналы доступа
  • Удалённый доступ: VPN-канал до офиса, доступ к камерам только из внутренней сети — снаружи периметра ничего не видно
  • Учётные записи: уникальный пароль на каждом устройстве, ролевой доступ к VMS (кто смотрит, кто скачивает, кто меняет настройки)
  • Хранилище: объём посчитан по формуле от числа камер, битрейта и глубины архива, плюс RAID для отказоустойчивости
Где обычно ломается

Четыре главные боли, которые встречаются почти везде

У большинства систем видеонаблюдения с возрастом вылезают одни и те же четыре проблемы. Не редкие случаи — статистика, мы видим их буквально в каждом втором офисе, куда приезжаем смотреть на существующую систему.

Боль № 1

«Места не хватило». Камеры пишут две недели, а нужно было два месяца

Произошёл инцидент — пошли смотреть запись. И обнаруживается, что архив только за последние две недели. А инцидент был месяц назад. Записи уже перетёрлись по кругу, восстановить ничего нельзя. Дальше — объяснительные руководству, безуспешный разговор со страховой и ощущение, что всё это видеонаблюдение поставили зря.

Как делается правильно: объём диска считается заранее по формуле «сколько камер × какое разрешение × сколько дней архива», с запасом на год вперёд — потому что камер обычно становится больше, а не меньше. Для серьёзных задач — массив из нескольких дисков, чтобы поломка одного не уничтожила архив целиком.
Боль № 2

Камера то зависает, то отваливается. Виновато питание

Самая частая жалоба: «вон та камера то работает, то нет». Айтишник ткнул в кабель, перезагрузил по питанию — заработала. На неделю. На месяц. Потом снова. Почти всегда дело в питании: камеру подключили через дешёвый инжектор или пустили 12 вольт от блока по свободным жилам витой пары. На конце кабеля напряжение проседает — и камере не хватает энергии в моменты пиковой нагрузки, например когда ночью включается ИК-подсветка. Та же история, что в главе про СКС с IP-телефонами.

Как делается правильно: питание идёт по PoE с управляемого свитча с запасом по мощности, по нормальному медному кабелю. Никаких отдельных блоков 12 вольт.
Боль № 3

Удалённый доступ «просто чтобы смотреть со смартфона»

Шеф хочет смотреть камеры из дома, из машины, в командировке. Самый простой способ — прокинуть порт на регистраторе наружу или подключить его к китайскому облачному сервису, который идёт в комплекте. Оба варианта означают одно: ваш регистратор виден из интернета. Его сканируют боты, на него подбирают пароль, рано или поздно — успешно. И дальше начинается боль № 4 — про неё ниже.

Как делается правильно: удалённый доступ — через VPN, как мы разбирали в главе про роутеры. Снаружи регистратор не виден, владелец заходит со смартфона за секунду. Тот же удобный доступ, только без открытого окна в интернет.
Боль № 4

Взлом. И не «когда-нибудь», а на следующей неделе

Продолжение боли № 3, но достойное отдельного пункта. У нас в практике был реальный случай: на нескольких объектах школьники через интернет находили камеры с открытыми портами, подбирали стандартные пароли — и через встроенный микродинамик пускали в офис матерные звуки. Не утечка данных, не шантаж — просто хулиганство ради хулиганства. Подобраться оказалось просто: на роутере был включён «автопроброс портов» (UPnP), который сам открыл камеру наружу. А если получилось у школьников — значит, хакерам и вовсе раз плюнуть.

Как делается правильно: камеры в своей сети без выхода в интернет, на каждой свой уникальный пароль, прошивки обновляются. И автопроброс портов на роутере выключен — это вообще базовая гигиена.
Типичные инциденты

Четыре сценария, после которых обычно зовут переделывать систему

Те же четыре боли с уточнением механики. Каждый сценарий встречался у нас в работе многократно — это не теория, это статистика.

Инцидент № 1

Недостаточная глубина архива из-за ошибки в расчёте

Что было. Установщик прикинул объём «на глаз»: купили один HDD на 4 ТБ, поставили запись по движению, сказали «должно хватить на пару месяцев». В реальности — записи на 12 дней. Причина: не учли, что в кадре всегда есть какое-то движение, и запись по движению снижает объём, но не в 10 раз, как многие думают.

Как правильно. Объём считается заранее по формуле число камер × средний битрейт × дни архива плюс запас 20-30%. Детально с цифрами — в пункте 3 ниже. Для серьёзных задач — RAID. Если архив больше пары месяцев — сразу сервер с возможностью добавить дисков, а не коробочный NVR с фиксированным количеством слотов.
Инцидент № 2

Камера зависает из-за просадки питания на длинной линии

Что было. Камера подключена через копеечный PoE-инжектор или вообще по свободным жилам 4-5 и 7-8 от блока 12 В. Длина линии — 50-60 метров, на конце напряжение проседает до 9-10 В. Днём всё работает — потребление умеренное. Ночью включается ИК-подсветка, ток растёт, напряжение проседает ещё сильнее — камера перезагружается. В журнале регистратора это видно как «потеря связи с камерой 03 → восстановление через 47 секунд», повторяется циклически. История та же, что в главе про СКС с IP-телефонами — только применительно к камерам.

Как правильно. PoE с управляемого свитча с явным бюджетом мощности, нормальная медь, длина до 100 м. Бонусом — PoE-watchdog: свитч сам перезагружает порт, если камера перестала отвечать на ping. Около 80% «зависаний» лечатся удалённо, без выезда.
Инцидент № 3

Удалённый просмотр через проброс порта или P2P-облако

Что было. Сценарий 1: на роутере прокинули порт 80/8080/37777 (типичные для NVR) на регистратор внутри сети. Сценарий 2: подключили регистратор к встроенному «P2P-облачному сервису» производителя — устройство само устанавливает исходящее подключение к серверу-посреднику. В обоих случаях NVR фактически доступен из интернета. Сканеры (Shodan, Censys, обычные боты) находят такие устройства за минуты. Заводские пароли в открытом доступе, CVE-уязвимостей в типовых китайских NVR — десятки, многие без патчей.

Как правильно. Удалённый доступ — через VPN до офиса, как мы разбирали раньше. Клиент VPN на телефоне или ноутбуке — один раз настроил, дальше пользуешься. С точки зрения интернета регистратор не существует. Никаких пробросов и никаких облаков от производителя камер.
Инцидент № 4

Взлом: UPnP, простые пароли и звуки в офисе

Что было. Реальный случай: на нескольких объектах подростки находили камеры в интернете, подбирали простые пароли (словарный пароль, 6 символов) и через встроенный микрофон-динамик пускали в офис посторонние звуки. Механика: на роутере по умолчанию включён UPnP — устройства внутри сети сами просят роутер открыть порт наружу. Камера или NVR делает такой запрос — и сам выкладывает себя в интернет. Владелец об этом не знает: в настройках роутера ничего явно не показывается. Дальше — дело техники, доступной школьникам.

Как правильно. Камеры в отдельном VLAN с блокировкой выхода в интернет на роутере. UPnP — выключен (это вообще базовая гигиена для бизнес-сети). Уникальные сгенерированные пароли на каждом устройстве, прошивки обновляются, встроенные «облачные» функции в камерах (Hik-Connect, P2P и аналоги) отключены.
Четыре принципа

Наши четыре принципа — применительно к камерам

Стандартный каркас: надёжность, безопасность, управляемость, масштабируемость. Кратко, как именно каждый из них проявляется в видеонаблюдении — подробное раскрытие идёт ниже в шести пунктах.

Надёжность
Запись на нужный момент
Камеры включают редко — обычно когда что-то уже случилось. Поэтому критично, чтобы система работала «в холостую» годами: камера не зависала, диск не кончался, регистратор не перегревался.
Безопасность
Камера — дверь в офис
Камера — это маленький компьютер с микрофоном, динамиком и своей прошивкой. Полноценная точка входа в сеть, которую надо защищать наравне с серверами.
Управляемость
Единое окно вместо хаоса
Когда камер три — можно держать всё в голове. Когда двадцать — нужна одна система, которая показывает: какая онлайн, у какой что не так, кто смотрел архив. Иначе превращается в зоопарк веб-интерфейсов.
Масштабируемость
Сервер растёт, коробка — нет
«Поставим четыре на входы» через три года становится пятнадцатью на трёх объектах. Регистратор на 8 каналов превращается в проблему. Сервер с VMS — расширяется камерами и дисками.
Четыре принципа

Наши четыре принципа, применительно к системе видеонаблюдения

Те же принципы, что и в предыдущих главах. Кратко — подробное раскрытие в шести пунктах ниже.

Надёжность
HDD, питание, перегрев
Точки отказа: один HDD на постоянной записи 24/7, дешёвый блок 12 В с просадкой на длинной линии, перегрев коробки-NVR в шкафу. Решается RAID, PoE от управляемого свитча и нормальным охлаждением серверной.
Безопасность
Камера — компьютер в сети
У любой IP-камеры есть собственная прошивка, открытые порты, микрофон и иногда динамик. Это полноценная конечная точка, которую можно атаковать, как любой компьютер в сети. Поэтому камеры изолируются от рабочей сети и интернета, парольная политика — как для серверов.
Управляемость
VMS как единая точка
Без VMS — десятки веб-интерфейсов, обновления и пароли руками, журналов нет. С VMS — единое управление, ролевой доступ, журнал действий, мониторинг статуса всех устройств на одном экране.
Масштабируемость
Лицензии VMS, не каналы NVR
Коробочный NVR — фиксированные каналы и слоты под HDD, превысил — нужен второй. Сервер с VMS — расширяется лицензиями и дисками, при больших объёмах — горизонтально вторым сервером записи.
Шесть пунктов

Что должно быть в нормальной системе видеонаблюдения

Базовый минимум, при котором система проработает годами и в нужный момент даст то, ради чего её ставили. Шесть пунктов — без них любое видеонаблюдение со временем превращается в проблему.

01 — Камеры

IP-камеры одного производителя

Аналог как класс уходит — он не масштабируется и плохо стыкуется с современными системами управления. Новые системы строятся на IP-камерах: каждая камера — маленький сетевой компьютер, подключается обычным сетевым кабелем.

Желательно — от одного производителя. Камеры разных вендоров теоретически работают вместе через общий стандарт, но на практике часть функций между ними не передаётся, прошивки обновляются вразнобой, у каждого свой клиент. Единый вендор — единый язык.

Масштабируемость Управляемость
02 — Питание

PoE с управляемого свитча, а не россыпь инжекторов

Тут специфики мало — про PoE и управляемые свитчи мы говорили в главе про коммутаторы. Применительно к камерам: один кабель от свитча до камеры, никаких отдельных блоков питания на каждое устройство.

Важная функция, ради которой стоит брать управляемый свитч с запасом, а не дешёвый «коробочный» — возможность удалённо перезагрузить порт. Камера зависла? Свитч сам выключит и включит ей питание, без поездки в офис.

Надёжность Управляемость
03 — Хранилище

Объём диска считаем заранее, не «должно хватить»

Считают так: «сколько камер × какое разрешение × сколько дней архива нужно». Получается цифра в терабайтах, под неё подбирается диск или массив. Плюс запас 20-30% — на случай, что захочется писать качество получше или хранить подольше.

Для маленькой системы (4-6 камер, месяц архива) хватит одного-двух дисков в регистраторе. Для серьёзных задач — RAID-массив: несколько дисков работают как один большой, и поломка одного из них не уничтожает архив.

Надёжность Масштабируемость
04 — Сеть

Камеры — в отдельном сегменте

VLAN — ту же логику мы разбирали и на роутере, и на коммутаторе. Применительно к камерам: они живут в своей подсети, рабочие компьютеры — в своей. Между ними нет связи, кроме одного канала: до сервера видеонаблюдения.

И что важно для камер дополнительно: в интернет они не выходят вообще. Камере незачем «звонить домой» к производителю. Прямой запрет на роутере, никаких исключений.

Безопасность Управляемость
05 — Удалённый доступ

Через VPN, а не «прокинутый порт»

VPN мы разбирали в главе про роутер. Применительно к камерам важна одна вещь: подключаемся не к самим камерам, а к серверу видеонаблюдения, и уже через него смотрим картинку и архив.

Снаружи интернета камер и регистратора не видно вообще. Никакие сканеры, боты и скучающие школьники до них не доберутся — даже теоретически.

Безопасность Управляемость
06 — Гигиена

Пароли и прошивки не на самотёке

На каждой камере — свой уникальный пароль. Не «admin/admin», не «12345», не один и тот же на всё. Прошивки обновляются хотя бы раз в полгода — производители регулярно закрывают свежие уязвимости.

И отдельная история, специфичная именно для камер: встроенные «облачные» функции. Hik-Connect, P2P, EZVIZ и аналоги — это исходящие подключения куда-то на серверы производителя. По умолчанию обычно включены. Выключайте.

Безопасность Управляемость
Шесть требований

Что должно быть в нормальной системе видеонаблюдения

Шесть пунктов, без которых система не выдержит реальной эксплуатации. Базовая планка для офисной инсталляции — ни разу не «уровень enterprise».

01 — Камеры

IP-камеры с ONVIF-совместимостью, единый вендор

Базовая модель: IP-камеры с поддержкой стандарта ONVIF (открытый протокол управления камерами разных производителей) и протокола RTSP для видеопотока. Это даёт совместимость с любой нормальной системой управления — не нужно завязываться на проприетарный клиент производителя.

Разрешение для большинства задач — 4-5 Мп. Угол обзора, тип объектива, ИК-подсветка — компетенция профильного подрядчика; со стороны ИТ важна совместимость протоколов и качество прошивки.

Желательно один вендор: единый интерфейс управления, унифицированное обновление, одна модель лицензирования. Смешение через ONVIF возможно, но часть продвинутых функций между разными вендорами не передаётся.

Масштабируемость Управляемость
02 — Питание

PoE от управляемого свитча, с расчётным бюджетом

Базу — что такое PoE, зачем управляемый свитч, почему омедёнку не берём — мы разбирали в главах про коммутаторы и СКС. Применительно к камерам — несколько практических чисел.

Обычный PoE на 15 Вт хватает для большинства фиксированных камер. PoE+ на 30 Вт — для камер с ИК-подсветкой большого радиуса, обогревом или поворотных. Бюджет мощности свитча (например, 370 Вт на 24 порта) должен покрывать суммарное потребление всех камер с запасом 20-30%.

Полезная штука именно для камер — PoE-watchdog: свитч сам обесточивает порт, если камера перестала отвечать на ping, и через секунду подаёт питание снова. Удалённо чинит около 80% «зависаний» камер, без выезда.

Надёжность Управляемость
03 — Хранилище

Расчёт от задачи, RAID, диски Surveillance-класса

Формула: объём (ГБ/сутки на камеру) = битрейт (Мбит/с) × 86400 ÷ 8 ÷ 1024. Для камеры 4 Мп в кодеке H.264 при битрейте 6 Мбит/с — это около 65 ГБ в сутки. 8 камер × 30 дней × 65 ГБ ≈ 15 ТБ, плюс запас 20-30% на пиковый битрейт сцены — итого 18-20 ТБ.

Кодеки: H.265 экономит ~40% относительно H.264 при сопоставимом качестве, но требует более производительный процессор у камеры и у сервера при декодировании. Если железо тянет — лучше H.265.

Массив дисков — RAID 1 / 10 для отказоустойчивости. Сами диски — Surveillance-класса (WD Purple, Seagate SkyHawk и аналоги): рассчитаны на круглосуточную запись. Обычные «настольные» диски при нагрузке 24/7 выходят из строя за 2-3 года.

Надёжность Масштабируемость
04 — Сеть

Отдельный VLAN для камер, без выхода в интернет

Механика VLAN разобрана в главах про роутер и коммутатор. Применительно к камерам — конкретная настройка:

Камеры назначаются в свой VLAN (например, vlan 200 = «cctv»), рабочие компьютеры — в свой. На роутере для VLAN с камерами — исходящих подключений в интернет нет (зачем камере звонить домой в Китай?), доступ к камерам разрешён только серверу VMS по конкретным портам (RTSP 554, HTTP/HTTPS для конфигурации, ONVIF на 8000). Пользователь подключается не к камере напрямую, а к VMS, и уже сервер тянет поток с камеры.

Бонус — видеотрафик отделён от офисного. Круглосуточная запись с десятка камер — это устойчивые 40-60 Мбит/с; в общей сети это заметно, в отдельной — никого не беспокоит.

Безопасность Управляемость
05 — Удалённый доступ

VPN, а не проброс порта или китайское облако

VPN как удалённый доступ к офисной сети мы разбирали в главе про роутер. Применительно к камерам — важная деталь: подключаемся не к камерам напрямую, а к серверу VMS. Через VPN пользователь оказывается во внутренней сети, открывает клиент VMS и уже из него смотрит камеры и архив. Сами камеры из их VLAN наружу не видны.

Что категорически не делать: пробрасывать порты на регистратор, использовать P2P-сервисы производителей камер (Hik-Connect, Dahua P2P, EZVIZ и аналоги), оставлять UPnP включённым на роутере. Каждое из этих решений делает устройство видимым извне — дальше дело времени.

Безопасность Управляемость
06 — Гигиена

Пароли, прошивки, журналы — под контролем

Учётные записи: уникальный пароль на каждой камере, длинный, сгенерированный. На VMS — ролевая модель доступа: оператор смотрит, менеджер выгружает фрагменты архива, администратор меняет конфигурацию. Журналы доступа ведутся.

Прошивки проверяем не реже раза в полгода. В крупных вендорах ежегодно закрываются десятки CVE — необновляемая камера становится «известно дырявой» через 6-12 месяцев.

Отдельно про встроенные «облачные» функции в камерах (Hik-Connect, Dahua P2P, EZVIZ, Tuya и аналоги). Это исходящие подключения к серверам производителя, обходящие правила файрвола через NAT traversal. Даже при правильно настроенном VLAN могут оставлять «дыры» — отключать в прошивке.

Безопасность Управляемость
Главный выбор

Регистратор за 10 000 ₽ против полноценного сервера

Это, пожалуй, самое важное решение при проектировании системы видеонаблюдения — на чём вообще будет крутиться запись и управление. И часто его принимают за тридцать секунд: «возьмём вот эту коробку, что-то писать будет». А правильный ответ зависит от того, какую систему вы строите.

Коробочный NVR

Готовая коробка за 8–15 тысяч

  • Фиксированное число каналов (4, 8, 16) — превысил, нужен второй регистратор
  • Обычно один HDD-слот, иногда два — больших архивов не положишь, ограничения на объем HDD
  • Веб-интерфейс на ломаном английском, ограниченный экспорт записей
  • Прошивка проприетарная, обновляется редко или никогда
  • Журнал доступа — формальный или вообще отсутствует
  • Подходит для: дома, маленького магазина, гаража — где задача «было видно, если что-то случилось»
Сервер с VMS

Обычный сервер плюс программа

  • Сколько камер ставить — столько и ставить, ограничение только по лицензиям
  • Дисковая подсистема — какая нужна, RAID, можно расширять, можно использовать СХД
  • Полноценный интерфейс с поиском по времени и движению, удобный экспорт
  • Программа обновляется регулярно, проблемы закрываются, добавляются функции
  • Журналы доступа: кто, когда заходил, что смотрел, что скачивал
  • Подходит для: офисов, складов, заводов, торговых сетей — везде, где система серьёзная

Когда брать коробочный регистратор: камер 4-8, архив хранится месяц-два, никаких особых требований к экспорту и поиску, никто не работает с системой ежедневно. Это «домашний» уровень, и для этого уровня коробка работает.

Когда нужен сервер: камер больше 16, архив нужен полтора месяца и глубже, несколько человек одновременно смотрят систему, нужен нормальный поиск (по времени, по движению, по событиям), нужен порядок при выгрузке фрагментов (для проверок, для страховой, для своих расследований).

Главная мысль: сервер — это не «дорого и сложно», это просто другая категория решения. По стоимости железа сервер на 64 камеры сопоставим с тремя коробочными NVR на 16 камер. По возможностям — несравнимо больше. По надёжности — тоже выигрывает: «коробочный» NVR с одним диском и непонятной прошивкой умирает гораздо чаще, чем нормальный сервер с RAID.

Архитектурный выбор

Коробочный NVR против сервера на базе PC/серверного железа

Ключевое архитектурное решение при проектировании системы. Разница не в цене железа (сравнимая), а в гибкости, масштабируемости и качестве управления. Выбор зависит от размера системы, требований к архиву и зрелости эксплуатации.

Коробочный NVR

Готовое устройство

  • Каналы: фиксированное число (4 / 8 / 16), часто привязано к набору PoE-портов на корпусе
  • Хранилище: 1-2 слота под HDD, реже 4. Ограничения на максимальны объем HDD
  • ОС и софт: проприетарная встроенная прошивка, обновления редки, доступа к консоли нет
  • API: ограниченный или отсутствует, интеграции (СКД, аналитика) — на уровне «как получится»
  • Кодеки: работают штатно для одного вендора, при смешении вендоров через ONVIF — баги
  • Лимит на одновременные подключения: 3-5 клиентов, при большем падает производительность
  • Стоимость: 8-25 тыс. ₽ за регистратор + диски. Дёшево, особенно на старте
Сервер + VMS

PC/сервер с программой

  • Каналы: ограничены лицензиями VMS и производительностью железа (один сервер обычно тянет 32-64 камеры, дальше — горизонтальное масштабирование)
  • Хранилище: от 4 до 24+ дисков, нормальный software-RAID или аппаратный контроллер, hot-swap, расширение по мере роста архива
  • ОС: Windows Server или Linux (зависит от VMS), полный доступ ко всему
  • API: у всех серьёзных VMS — REST API, интеграция со СКУД, кассами, охранной сигнализацией, аналитикой движения и распознаванием
  • Кодеки: H.264, H.265, MJPEG, поддержка ONVIF Profile S/G, межвендорная совместимость стандартная
  • Одновременные подключения: десятки клиентов, ограничены только пропускной способностью сети
  • Стоимость: от 50 000 ₽ за железо + лицензии VMS (бесплатные для open-source, от 1500 ₽ за канал для коммерческих). Дороже на старте, существенно дешевле в перспективе при масштабировании

Граница принятия решения. Коробочный NVR оправдан для систем до 8-16 камер с умеренными требованиями к архиву и без планов на рост: малый магазин, гараж, маленький офис. Сервер с VMS — от 16+ камер с перспективой роста, при глубине архива от 30 дней, при потребности в интеграциях со СКУД, кассами, аналитикой, при множественных объектах.

Из VMS-платформ — как коммерческих, так и open-source — на рынке достаточно вариантов. Конкретный выбор делается под задачи: бюджет, число камер, требования к аналитике и интеграциям, готовность команды к настройке и сопровождению. Любая зрелая VMS кратно превосходит коробочный NVR по гибкости.

Железо сервера: для VMS критичны не столько ядра процессора, сколько скорость дисковой подсистемы (запись с 16-32 камер одновременно — это устойчивые 50-100 МБ/с) и сетевой интерфейс (1 Гбит/с — минимум). Часто собирают на б/у серверном железе (Dell R720+, HP Gen 8+) — дешевле нового PC и надёжнее за счёт серверной начинки.

Частые вопросы

«А что насчёт ...?»

Когда мы рассказываем про видеонаблюдение по этому стандарту, в первые пять минут задают одни и те же вопросы. Собрали их с прямыми ответами.

А Wi-Fi-камеры? Это же удобнее — кабель тянуть не надо.

Wi-Fi-камеры — это устройство для квартиры. В офисе у них две основные проблемы. Первая: Wi-Fi — общий радиоэфир, и каждая камера в реальном времени гонит в него видеопоток. Десяток камер моментально забивает Wi-Fi для всех остальных — про это была отдельная глава. Вторая: камере всё равно нужно питание, а значит рядом нужна розетка, которой обычно нет. По трудозатратам тянуть розетку — то же самое, что тянуть сетевой кабель.

Плюс почти все Wi-Fi-камеры — это потребительский класс, со всеми его проблемами: заводские пароли, китайские облака, прошивки 2015 года. То, против чего мы пишем эти стандарты.

А что насчёт облачного видеонаблюдения? Сейчас это модно.

Облачное видеонаблюдение — когда запись идёт сразу к провайдеру на серверы, а не на локальный регистратор. Для маленьких систем (1-5 камер в небольшом помещении) — это иногда нормальный вариант: никакого своего железа, всё «как услуга».

Минусы для бизнеса побольше: каждая камера в реальном времени гонит видео в интернет, и канал должен это вытягивать. При обрыве интернета запись теряется. Ежемесячная плата за пять-десять камер за пару лет покрывает стоимость нормального сервера.

В большинстве случаев гибрид работает лучше: запись локальная (надёжно и контролируемо), удалённый доступ — через VPN или приложение производителя VMS.

У нас всего 3 камеры — точно нужны все эти сложности?

Часть — да, часть — нет. Размер системы влияет на железо и серверную часть, но не влияет на принципы безопасности и питания. Камеру взламывают одинаково легко независимо от того, три их всего или сорок: автоматическим сканерам в интернете всё равно, какого размера у вас система.

Что для 3 камер можно упростить: полноценный сервер с VMS не нужен, коробочный NVR справится с записью. Что нужно даже на 3 камерах: PoE с нормального свитча, отдельный сегмент сети для камер, безопасный удалённый доступ через VPN, уникальные пароли и обновлённые прошивки. Одна заражённая камера в общей сети — это та же угроза, есть рядом ещё камеры или нет.

А SD-карты в камерах? Локально можно писать прямо в камеру.

Да, можно. Большинство IP-камер пишут на SD-карту, и это иногда полезно — например, как страховка на случай, если регистратор пропадёт из сети. Несколько часов или сутки последних записей у вас будут прямо в камере.

Как основной способ хранения SD-карты не годятся. Объём ограничен (128-256 ГБ — это 2-3 дня записи одной камеры). Карты быстро изнашиваются от круглосуточной записи (специальные «high endurance» живут год-два, обычные — несколько месяцев). И сами по себе они — это точка отказа: камеру украли — вместе с ней унесли все записи.

Использовать SD как страховку поверх основной записи на регистратор — да, разумно. Как единственное хранилище — нет.

А аналоговые камеры? Они же тоже снимают.

Да, тоже снимают. Если у вас уже есть рабочая аналоговая система и она вас устраивает — нет смысла её ломать ради ломания. Работает — не трогай.

Но если вы строите систему с нуля — IP-камеры явно лучше: выше разрешение, гибче кабельная разводка (нужен только сетевой кабель), масштабируется без ограничений по числу каналов на регистраторе, легко интегрируется с любой VMS.

Промежуточный вариант — гибридные регистраторы, которые умеют и аналог, и IP одновременно. Полезно, когда вы расширяете старую аналоговую систему: новые камеры ставите сразу IP, старые продолжают работать. Со временем меняете аналоговые «по мере смерти» — и система естественным образом переходит на IP.

FAQ

Частые возражения и уточнения

Вопросы, которые задают при обсуждении архитектуры. Здесь — с техническими нюансами, без «потому что мы так делаем».

Wi-Fi-камеры для офиса — почему нет?

Технических причин — три.

Питание всё равно нужно. Wi-Fi-камеры требуют отдельного блока питания (POE по воздуху не передаётся). Если рядом нет розетки — нужно либо тянуть провод питания (по сложности — те же затраты, что и тянуть Ethernet), либо использовать камеру с аккумулятором (тогда отдельная проблема — заряжать и менять).

Нагрузка на радиоэфир. Камера 4 Мп в режиме непрерывной записи генерирует поток 4-6 Мбит/с. Десять камер — это 40-60 Мбит/с в эфире, плюс потерянные пакеты и переотправки. Это нагрузка не только на канал до точки WiFi, но и на её эфирное время. Подробно про физику Wi-Fi — в главе 4.

Класс устройства. Wi-Fi-камеры — это почти всегда потребительский сегмент, с проблемами этого сегмента: дефолтные пароли, прошивки без обновлений, обязательная привязка к китайскому облаку производителя, NAT traversal через сторонние серверы. Корпоративных Wi-Fi-камер на рынке мало, и они дороже эквивалентных проводных PoE-камер.

Вердикт: Wi-Fi приемлем для отдельных труднодоступных точек (склад под потолком, удалённое помещение без проводки), как исключение. Не как основа архитектуры.

Облачное видеонаблюдение (VSaaS) — когда подходит?

VSaaS (Video Surveillance as a Service) — модель, в которой видеопотоки идут напрямую с камер в облако провайдера, локального хранилища либо нет, либо оно как кэш. На российском рынке — Ivideon, Camera.Ru, локальные провайдерские предложения (Билайн, МТС, Ростелеком).

Подходит для: малых систем (1-5 камер) в небольших объектах (магазин, офис в БЦ, точка общепита), где нет места под локальную инфраструктуру и нет своих ИТ-ресурсов. Отдельный сценарий — сетевые точки (магазин-сеть, кофейни, мини-АЗС), где единый облачный мониторинг всех точек удобнее, чем разбросанные локальные NVR.

Не подходит для: систем 8+ камер (исходящий канал упирается в ограничения провайдера), систем с критичными требованиями к непрерывности (обрыв интернета = пропуск записи), систем с большой глубиной архива (стоимость хранения в облаке растёт линейно — за два года набегает стоимость своего сервера).

Гибридный подход обычно оптимален: локальная запись (надёжность, контроль), удалённый доступ через VPN или клиент VMS (мобильность). Это нивелирует и проблему канала, и стоимости хранения.

3 камеры — VLAN и сервер не нужны, верно?

Зависит от того, какой пункт из шести требований обсуждается. Можно упростить: сервер с VMS — на 3 камерах коробочный NVR справится, лицензии VMS на такую систему обычно не оправданы.

Нельзя упрощать (даже на 3 камерах): питание, VLAN-изоляцию, VPN, уникальные пароли и обновления прошивок. Требования к безопасности и качеству электропитания — константы, не зависят от масштаба. Сканеры в интернете не различают, три у вас камеры или сорок. Заражённая камера в общей сети — одинаковая угроза независимо от того, есть в этой сети ещё камеры или нет.

Запись на SD-карту в камере — норма или плохая практика?

Как дополнение к основному хранилищу — норма и полезна. Edge-recording (запись прямо на камеру) даёт страховку: если регистратор стал недоступен (сеть, питание, отказ железа) — последние часы записи останутся на SD, потом VMS заберёт их при восстановлении связи. Современные камеры поддерживают это через ONVIF Profile G.

Как основное хранилище — почти всегда плохо. Объём microSD — обычно 128-512 ГБ. Для камеры 4 Мп при 6 Мбит/с это 2-7 дней записи. Ресурс write-cycles у даже специализированных «high endurance» карт (SanDisk High Endurance, Samsung Pro Endurance) — гораздо меньше, чем у HDD, при круглосуточной записи карта выходит из строя за 6-18 месяцев. Плюс физическая доступность: камеру демонтировали = доступ ко всему архиву.

Сценарии разумного использования SD: малые системы без NVR (1-2 камеры с локальной записью), буферизация при разрывах связи, edge-аналитика (камера сама хранит «интересные» фрагменты по событию).

Аналоговые камеры и HD-CVI / HD-TVI — это всё ещё актуально?

Чистого аналога (PAL/CIF) для серьёзных задач уже давно не делают — низкое разрешение, плохое качество в условиях сложного освещения. HD-CVI и HD-TVI — это «гибридные» технологии Dahua и Hikvision соответственно, передающие HD-сигнал по коаксиальному кабелю. Они существуют в основном для одного сценария: модернизация существующих аналоговых систем, где уже проложен RG-59 коаксиал, и менять кабельную инфраструктуру нерационально.

Технически эти технологии работают, разрешение до 4-5 Мп, кадровая частота нормальная. Но архитектурно это тупик: фиксированное число каналов на регистраторе, нет нормальной интеграции с VMS, нет PoE (питание идёт отдельным проводом). Все производители постепенно сворачивают линейки в пользу IP.

Гибридные регистраторы (HD-TVI + IP в одной коробке) — рабочий вариант на переходный период: старые аналоговые камеры остаются, новые ставятся уже IP. Когда аналоговые умирают — заменяются IP. В новом проекте — только IP, без вариантов.

Следующая глава
Глава 7 · Корпоративная связь
Телефония: чтобы работала, а не мешала
Следующая глава
Глава 7 · Корпоративная связь
Телефония: чтобы работала, а не мешала
Поменять версию статьи:
Нужна помощь

Если посмотрели на свои камеры — и половина пунктов не сходится

Это нормально, и это часто. Видеонаблюдение делалось не в один день, не одним человеком, и обычно никто не оценивал систему как единое целое. Мы можем посмотреть, что у вас стоит, и сказать: где работает нормально, где есть реальные риски, а где — просто старое, но рабочее. Без продаж, без «давайте всё переделаем». Сначала разбираемся, потом советуем.

Обсудить нашу задачу Все стандарты
Телефон +7 831 423-67-03
Почта sales@itmak.ru
Telegram @itmak_support
Аудит и внедрение

Аудит существующего видеонаблюдения, проектирование, миграция на сервер VMS

Если хочется не просто заменить регистратор, а перестроить систему правильно: PoE-инфраструктура с управляемыми свитчами, отдельный VLAN для камер, сервер с VMS и расчётным RAID-массивом, защищённый удалённый доступ через VPN. Делаем аудит существующих систем (что есть, где риски, что менять), проектируем целевую архитектуру с расчётом хранилища и сетевой нагрузки, выполняем миграцию без потери архива.

Запросить аудит системы Все стандарты
Телефон +7 831 423-67-03
Почта sales@itmak.ru
Telegram @itmak_support