中国电信：2023智联可信5G视频安全白皮书（41页）.pdf

《中国电信：2023智联可信5G视频安全白皮书（41页）.pdf》由会员分享，可在线阅读，更多相关《中国电信：2023智联可信5G视频安全白皮书（41页）.pdf（41页珍藏版）》请在三个皮匠报告上搜索。

1、1中国电信智联可信中国电信智联可信5G 视频安全白皮书视频安全白皮书中国中国电信集团电信集团有限公司有限公司中星微技术股份有限公司中星微技术股份有限公司2023 年年 4 月月2目录目录1前言.325G 赋能视频监控发展.42.15G 新特征.42.25G 为视频监控带来的价值.43视频监控安全的挑战和要求.53.1安全挑战.53.2安全要求.845G 视频监控安全参考架构.1255G 网络视频监控系统安全能力.155.15G 安全能力增强.155.2端到端安全隔离.156视频监控安全能力和实现.176.1前端设备.176.2接入.206.3系统和环境.216.4视频和图像数据.236.5应用

2、.246.6安全管理.2675G 视频监控安全应用场景及案例.277.1车载应用场景.277.2临时部署应用场景.297.3无人机应用场景.317.4布线困难应用场景.357.5中国电信面向中小型用户的 5G 视频监控运营服务.378 总结与展望.38附录一：术语及缩略语.40附录二：参与编写单位和编写人员.4131 前言前言视频监控业务系统可以直观、准确、实时地采集音视频信息，实现对关键区域的实时监控。视频监控系统按照功能可以分为前端采集、传输、存储、管理和显示共五层功能架构。安全对视频监控系统而言是至关重要的，它涉及视频监控系统的各个层面，包括终端和接入安全、网络承载安全、数据安全和应用安

3、全等构成的整体安全。随着移动网络承载能力和安全能力的发展，5G 在接入安全、网络切片等方面较之前的移动网络有很大的提升，因此可以在很多场景下取代有线方式，成为视频监控业务的重要承载方式。中国电信联合中星微技术，针对公共安全监控、政务系统的视频监控、企业视频监控和家庭视频监控等方面的安全需求进行了分析，基于中国电信自主可控技术为 5G 赋能视频监控系统安全提供参考。42 5G赋能视频监控发展赋能视频监控发展2.1 5G 新特征新特征5G 的愿景与需求，是为了应对未来爆炸性的移动数据流量增长、海量的设备连接、不断涌现的各类新业务和应用场景，同时与行业深度融合，满足垂直行业终端互联的多样化需求，实现

4、真正的“万物互联”，构建社会经济数字化转型的基石。ITU 为 5G 定义了 eMBB（增强移动宽带）、mMTC（海量大连接）、uRLLC（低时延高可靠）三大场景。实际上不同行业往往在多个关键指标上存在差异化要求，通过对 5G 系统的可靠性、时延、吞吐量、定位、计费、安全、可用性的定制组合可以满足。eMBB 典型应用包括 4K 高清视频、虚拟现实、增强现实、远程会诊、远程教育等。这类场景首先对带宽要求极高，关键的性能指标包括 100Mbps 用户体验速率、Gbps 峰值速率、10Tbps/平方公里流量密度等。其次涉及到交互类操作的应用还对时延敏感，例如虚拟现实沉浸体验对时延要求在十毫秒量级。uR

5、LLC 典型应用包括工业控制、配电自动化、无人机控制、面向自动驾驶的 V2X 应用、运动控制、触觉交互等。这类场景聚焦对时延和可靠性极其敏感的业务，往往同时还伴随高精度定位要求。mMTC 典型应用包括智慧城市、智能家居、工业信息化、智能物流等。这类应用对连接密度要求较高，同时呈现行业多样性和差异化。2.2 5G 为视频监控带来的价值为视频监控带来的价值视频监控业务除了需要稳定的大带宽，更需要安全可靠的承载链路，因此一直以来，视频监控业务基本上都是以有线承载为主。5G 的到来将有效改变这一现状。5G 除了可以支持大带宽，在安全方面也有很大的增强。5G 网络除了延续了 4G 网络中信令完整性保护、

6、信令和数据的加密保护、安全密钥算法、接入认证等部分安全机制，在信令保护、数据保护、认证授权、网络切片、承载安全等方面的安全能力增强能够为视频监控业务提供基础安全保障。5总体来说，5G 网络的 eMBB 业务能力以及比 4G 更突出的安全能力为视频监控业务向无线承载转移提供了非常有利的条件，可以极大地拓展视频监控业务的应用场景，例如车辆监控，无人机，政府（城管、公安），智慧工地监控，防疫，工业互联网，明厨亮灶，天翼云眼等有线部署比较困难的场景，以及智慧工厂等需要剪辫子的场景等等，5G 都可以提供为这些视频监控业务提供安全可靠的承载。3 视频监控安全的挑战和要求视频监控安全的挑战和要求3.1 安全

7、挑战安全挑战视频监控市场正如火如荼发展中但负面消息从未间断。近年来,视频监控技术在 AI、大数据、云平台的加持下大规模落地于各个行业，从智慧城市、平安城市到智能交通、园区监控、景区监控，乃至楼宇监控、电子警察、特种监控,甚至在私密性极强的家居场景也不乏网络摄像头。后疫情时代,人们更是对机器视觉催生出的人脸识别、无接触测温、远程办公、远程医疗、在线教育等一众智能应用愈发地依赖。随着视频监控网络设备的种类以及平台与数量不断上升，视频监控网络事实上已成为一张承载海量终端与数据的视联网。然而在视频监控系统中采集、传输、存储大量包含个人和单位的视频图像以及生物特征信息，甚至承载了许多单位机密的信息，视频

8、泄漏导致的个人隐私泄漏、商业机密泄漏、不良社会影响等事件层出不穷。2014 年，国内某视频监控头部企业的 DVR 和 NVR 产品返修数量非正常升高,公司发现系网络攻击导致。黑客持续利用美国、瑞典、荷兰等境外服务器资源,直接通过初始密码 Telnet 登录，并植入脚本文件，进而挟持、破坏设备固件。公安系统设备甚至也可能暴露于攻击范围内。2016 年，美国互联网服务供应商 Dyn 遭受数次通过 Mirai 僵尸网络发起的大型 DDoS 攻击，从而导致许多网站在美国东海岸无法登陆访问，其中包括GitHub、Twitter、Reddit、Netflix 和 Airbnb 等。当 Mirai 病毒扫描

9、到一个物联网设备（比如网络摄像头）后就尝试使用默认或弱密码进行登陆，一旦登陆成功，这台物联网设备就进入“肉鸡”名单并成为僵尸网络的节点，开始被黑客操控攻击6其他网络设备。2018 年，外媒报道，数以万计的某品牌视频监控设备的登陆密码被缓存在搜索引擎的搜索结果中,这些密码适用于运行有老旧固件的 DVR，攻击者在对应端口上发送特殊的有效载荷，设备将以 DDNS 凭证响应从而访问设备和其他数据,并以明文形式进行响应。2019 年，温州警方曾破获了一起非法贩卖某品牌 APP 扫描工具以及利用APP 扫描工具对他人的摄像头进行扫描、控制达到数十万只的案件。2020年，黑客攻击了美国硅谷初创公司Verka

10、da 提供的基于云的摄像头服务,采集了摄像机数据,并盗取了 15 万个监控摄像头的实时视频,涉及医院、诊所、公司、警察部门、监狱、学校、精神病院等众多场景,尤为引发关注的是,其中还包括特斯拉工厂和仓库内的 222 个摄像头。2022 年 3 月，某情报中心监测到匿名者与其他支持乌克兰的黑客组织接管400+台俄罗斯摄像头，同时 behindenemylines 网站分享控制摄像头的实时信息，对俄罗斯多个敏感机构的工作环境和内容进行直播，带来严重危害。视频监控业务随智慧城市、智慧交通、智慧园区、智慧物流的兴起，把视频监控的应用范围进一步推广到各个领域，也成为关键信息基础设施的支撑产业之一，同时视频

11、监控的信息安全重视程度从商业层面上升到国家安全层面。3.1.1前端设备安全前端设备安全弱口令、溢出等安全漏洞隐患不断。视频监控网络中的前置摄像头和网络设备存在大量弱口令、溢出等安全漏洞隐患。针对前端摄像机接入形成的网络边界，需制定技术可靠、安全防护性高的、基于终端准入认证的前端摄像机访问控制技术措施。防止前端摄像机被非法替换、终端非法接入、网络非法访问等安全问题的发生。还需对摄像头运行状态实时监测，对异常状态及时统一分级报警，实现各类状态的数据汇总和集中展示。此外，视频监控网络中存在部分 PC 终端（windows 操作系统），需要对这些终端进行注册管理，达到与其他设备统一管理，如果存在安全漏

12、洞或者配置不完善，则容易遭受蠕虫病毒攻击、黑客攻击或泄漏重要信息，给内部网络带来安全隐患。73.1.2接入安全接入安全端与端之间缺乏隔离、可信、验证能力。视频网前端由于分布广泛，人力无法在物理位置进行时刻防范，易被攻击者仿冒 IP/MAC 入侵网络，造成数据泄漏、恶意攻击的安全风险，同时被替换设备可能是无线 AP、无线小路由等网络设备，为更多非法设备提供入侵渠道，安全管理员在如此庞大基数的网络中无技术手段发现与规避。数据中心与前端设备、客户端间往往不具备双向认证的机制，缺少安全隔离能力。部分前端设备老旧，没有采用基于前端设备、客户端的 IP/MAC 地址或数字证书的访问控制的机制导致，同时不具

13、备针对不符合要求（内容、格式、类型）的视频流、视频信令拥有过滤能力，所以导致接入方面出现较大的安全风险隐患。3.1.3系统和环境安全系统和环境安全网络边界接入点多，环境复杂，破解风险大。视频监控网络边界接入环境复杂，边界接入平台多种多样，网络中可能存在互联网通路，大大扩展了视频监控网络的网络边界，且其安全性较差，容易遭到破解，是对网络边界完整性的重大破坏。视频监控网络中的监控 PC 终端大都为 windows 系统，缺乏有效的防病毒和补丁管理措施、usb 外设管理措施，病毒和恶意代码可通过 usb 接口对监控终端进行感染，由于监控终端之间没有隔离措施，病毒会在整个监控网络中肆意传播，导致摄像机

14、被恶意挖矿、发起 DDoS 攻击，导致设备故障，视频监控无法正常调取查看等严重后果。3.1.4视频和图像数据安全视频和图像数据安全视频数据读得到、看得到、取得走的问题不在少数。由于视频数据是明文传输且编码方式具有标准化特征，攻击者可通过伪造相同编码格式视频数据替换原有采集视频数据，导致视频数据被篡改。而视频在传输过程中采用网络旁路或通过非法途径从后台下载的方式截获视频数据。鉴于视频数据对存储要求高容易要求大，所以服务商往往为了减少安全存储成本而未加强相应安全手段，容易造成泄露、勒索甚至毁坏等风险。83.1.5应用安全应用安全应用漏洞存在潜在威胁和薄弱点。应用的安全关系到互联网生态的健康发展和国

15、家关键信息基础设施的安全保障，随着市场的快速发展，应用安全问题层出不穷，例如应用越权访问、应用被破解、日志记录不全、注入漏洞、身份验证失败、敏感数据泄露、XML 外部实体注入、受损的访问控制等，漏洞的应用程序容易被攻击者利用，造成用户的重要数据泄漏、程序被篡改或破坏，引发安全事故。3.1.6安全管理安全管理缺乏安全管理平台，导致风险不可控。视频摄像头作为视频监控网络重要组成部分，基数大且部署分散，品牌多样，边界接入设备缺乏有效的认证与监管，目前无技术工具自动统计。另外对于大型机构一般采取分布式管理，权限分散，无集中式管理平台，且无法贯彻落实视频网络建设要求。资产管理混乱，设备信息录入不准确，设

16、备运行数据采集不全面，固件更新不及时，造成安全管理困难。视频摄像头、交换机、路由器、防火墙、视频网业务服务器、运维终端等是视频监控网络全部组成部分，无技术手段鉴别是否存在非视频监控网终端的接入，无法规避由此引发的安全事件。3.2 安全要求安全要求3.2.1法律法规及标准法律法规及标准2016 年，网络安全法正式出台，主要覆盖网络运行安全、个人信息保护和网络内容管理等方面。随着 5G、物联网等技术发展普及，在 DDos 攻击、勒索病毒等传统网络安全问题依旧突出的同时，数据作为数字经济的基础性战略资源，逐渐凸显为安全的重点。在此背景下，数据安全法于 2021 年正式出台，成为我国数据安全领域基础性

17、法律。数据安全法对数据分类分级、重要（核心）数据管理、数据安全审查等作出了明确规定。密码技术作为确保数据安全的基础，在身份鉴别等领域也获得广泛应用，已9经成为数字时代的基础性核心技术之一；谁掌控密码技术的先导权，谁就拥有控制相应网络与信息的能力。2020 年 1 月开始施行的中华人民共和国密码法，为国产密码行业和技术的发展奠定了基础，创造了发展机遇。以上述法律为依据，陆续出台一系列的配套法规、规章和规范性文件，逐步形成了完整的体系。其中按照网络安全法第二十一条要求（实行网络安全等级保护制度，以下简称“等保”）,一系列等保标准发布，包括 GB/T 22239-2019信息安全技术 网络安全等级保

18、护基本要求等，构建了从技术规划到检测的闭环体系，并已在政府部门和关键信息基础设施相关行业获得推广。按照密码法相关要求颁布的 GB/T 39786-2021 标准 信息安全技术 信息系统密码应用基本要求，是指导我国商用密码应用与安全性评估工作开展的纲领性、框架性标准，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面提出了密码应用技术要求，从管理制度、人员管理、建设运行和应急处置四个方面提出了密码应用管理要求，对于规范引导信息系统密码合规、正确、有效应用具有重要意义。在视频监控领域，为满足平安城市、雪亮工程的安全性要求，2017 年发布了 GB35114-2017公共安全视

19、频监控联网信息安全技术要求。该标准规定了公共安全领域视频监控联网视频信息以及控制信令信息安全保护的技术要求，适用于公共安全领域视频监控系统的信息安全方案设计、系统检测及与之相关的设备研发与检测。GB35114-2017 是我国首个关于视频监控联网信息安全方面的技术标准，首次对公共安全视频监控的信息安全提出明确规范要求，是全面加强公共安全视频监控领域信息安全的技术依据，该标准明确要求视音频数据的可信编码及验证、视音频数据加解密，防止视频数据被篡改、伪造和泄露，确保视频监控联网信息安全，突破了仅进行网络和传输层面防护的局限，从系统层面对视频监控系统信息安全提供了一个整体解决方案。2021 年 6

20、月，中华人民共和国公安部发布了 GA/T 1781-2021公共安全社会视频资源安全联网设备技术要求，该标准规定了公共安全社会视频资源安全联网设备的组成与外部连接关系、产品分类与标记、一般要求、功能要求、安全10要求和性能要求等内容，通过这些约束进而更好的指导视频监控网络的安全联网工作，建设健全视频监控这张资源“大网”。中国电信网信20226 号文件关于做好商用密码应用安全性评估相关工作的通知要求：各单位要结合等保定级和关键信息基础设施管理情况，针对本单位关键信息基础设施和等保三级及以上的网络与信息系统，制定商密评估计划，选择具有评估资质的机构，每年开展一次商密评估。3.2.2安全技术相关要求

21、安全技术相关要求前端设备安全前端设备安全：要求对设备进行行为审计、“一机两用”行为监测、外设端口控制等做有效管理。要保证内网的安全性，就必须对终端计算机上的漏洞情况进行分析，打上所需要的补丁，以及时修补计算机上存在的漏洞，从而提高计算机自身的系统安全性。接入安全接入安全：视频监控网络网络边界、内部网络中应采取有效的访问控制措施，防止非法访问，黑客攻击的发生，特别在前置摄像头与核心汇聚交换设备之间防护来自前置摄像头的安全威胁，如采用防火墙技术进行安全防护，各安全边界接入必须能够进行细粒度的访问控制能力，严格控制访问者的权限。系统和环境安全系统和环境安全：要求对接入平台的设备进行安全检测，包括但不

22、限于物理和硬件安全、系统和固件安全、网络和通信安全、应用和数据安全。其中针对固件安全，应覆盖敏感信息泄露检测、敏感服务开启检测、应用层代码检测、签名和完整性检验等。检测通过的设备方可接入使用。同时还应具备入侵防御能力、补丁管理、脆弱性检测、上网行为管理能力和防病毒网关能力等能力。视频和图像数据安全视频和图像数据安全：要求视频监控平台具备数据防泄露、数据脱敏、数据加密、数据鉴权、数据备份恢复等手段加强视频数据防泄密管理与溯源，保障视频图像信息安全，避免敏感视频图像信息泄露，保障视频数据在终端应用和存储的安全性，防止视频数据在流转过程中被非法泄露。应用安全应用安全：要求定期进行代码扫描、应用安全测

23、评和渗透测试，及时发现潜在威胁和薄弱点，结合应用访问控制、应用内容防护、应用脆弱性防护、应用攻击防护、应用加固等手段增强应用安全性，加强视频应用安全防护，确保敏感的用户权限、日志信息、数据信息、应用、以及信息系统等资产免受攻击与侵害避11免被黑客利用攻击。安全管理安全管理：要求对接入平台的设备资产进行统一登记管理，录入完整的设备基础信息，同时对运营的设备进行实时监控，统计设备数量、运行状态等信息做为脆弱性的管理；具备安全配置包括安全基线管理、安全策略管理和安全事件管理，最后还能做到对掌握的信息进行安全预警和处置。3.2.3安全可靠、智联可信安全可靠、智联可信国家标准 GB/T25724-201

24、0/2017公共安全视频监控数字视音频编解码技术要求是由公安部、工信部、国标委、科技部和发改委共同主导推行，是具有我国自主知识产权、面向视频监控等专业应用场景的视音频编解码标准。GB/T25724主要从视频编解码、智能分析和安全自主三个方面基本解决了当前国内安防视频监控应用领域存在的核心技术匮乏和信息安全隐患等问题。在 2017 年和 2018 年我国分别发布的国家标准 GB35114 和 GB37300。GB35114 对前端设备进行 A/B/C 三类分级（A 级解决身份真实的问题、B 级在 A级基础上通过视频签名解决视频真实的问题、C 级在 B 级的基础上采用国密算法进行视频加密）；GB3

25、7300 标准规定了公共安全重点区域视频图象信息采集部位和采集种类、技术要求和采集设备要求,适用于公共安全视频监控联网系统中重点公共区域和重点行业、领域涉及公共区域的视频图像信息采集与管理。除了以上标准外，公安部于 2021 年发布了公共安全社会视频资源安全联网设备技术要求（GA/T 1781-2021）行业标准。GA/T1781 标准首次提出了用于社会面视频图像资源数据加密和治理的专用安全联网设备。标准定义了安全联网设备应具备对视频图像信息接入、转发、签名、加密，以及设备身份认证和网络访问控制等功能，用于互联网/专网上的视频图像信息传输。依托以上标准相辅相成的关系，以打造符合“安全可靠、自主

26、可控”战略为目标，从自主标准、自主芯片、自主产品形成完整的解决方案体系，不断提升视频监控系统的智能实时分析和安全防护水平，使安全视频信息为信息化应用带来切实好处，其重要意义如下：一是自主可控：自有知识产权属性将促进我国自主核心编解码芯片和相关产业的发展，在视12频监控领域已形成国家标准的完全闭环。二是专业应用：专门面向视频监控和视频物联网大数据应用，可满足各种专业应用场景下视音频编解码和人工智能物联网融合等需要，同时具有国际领先的技术优势。三是数据安全：构建以国密体系为核心的视频安全架构，实现端-边-云视频全生命周期安全保障。采用国密算法和密码技术实现身份认证、信令验证、视频签名和视频加密等功

27、能，可以抵御各种已知或未知的网络攻击、入侵和数据窃取、篡改等操作，有效保障视频监控数据的安全。1)保证视频数据从“信源”产生，使用视频数据从源头具有完整性和不可抵赖性；2)保证视频数据在网络传输、存储的完整性；在使用视频时进行视频完整性校验；3)采用数字证书进行双向认证，保证相关设备和用户的身份真实；4)采用国密数字信封方式保护安全密钥，保证了关键信息的传输机密性；5)采用带密钥的国密算法摘要技术，保证了视频间信令信息的完整性；四是信息技术应用创新：围绕以上国家标准，已形成从芯片、前端产品到后台应用的完整产业链，兼容国产化服务器、桌面 PC 和操作系统等，实现全信创化解决方案。打造信创产业其核

28、心是通过专利、标准、芯片、算法、设备建立自主可控的技术架构，包括底层 IP 代码自研、标准持续更新、在完全取代国外 AES、RSA 算法基础上，构建了强有力的安全保护。积极拓展公共安全、交通、工业互联网、视讯和汽车出行等行业生态的视频安全应用。45G视频监控安全参考架构视频监控安全参考架构5G 视频监控安全参考架构如下图：13图一 5G 视频监控安全参考架构5G 视频监控安全不单是 5G 在承载视频监控传输过程的安全，是从视频监控采集、编转码、传输、接入、解码、转发、存储、调阅全流程安全保障，整体包括 5G 设备和网络、边缘接入、视频监控云中心、安全管理、安全基础设施五部分。1.5G 设备和网

29、络设备和网络5G 视频图像采集和边缘设备，遵循视频监控数据安全的国家标准GB35114-2017 的要求，设计前端视频监控采集安全架构，实现多重安全认证、设备安全加固，结合实际情况，图像采集遵循 GB35114-2017 的情况分为两种情况，一种是新建符合 GB35114-2017 标准的摄像机；另外一种是对于已建的视频监控系统，不符合 GB35114-2017 标准的，采用增加安全网关盒子方式进行加密防护：5G 客户端具有对登录用户的身份校验、视频流的解码与解密等，其安全标准遵循 GB35114-2017 标准的相关要求。5G 传输负责前端安全视频采集后的传输和客户端端调阅时传输，5G 传输

30、的安全离不开 5G 网络安全，5G 网络将从三方面技术防护，网络切片隔离、专网隔离、承载安全。142.边缘接入边缘接入接入安全将是由 5G 视频图像采集到的视频图像数据通过 5G 网络传输接入到平台前的边界安全，包括对其设备接入的身份认证，网络传输的认证，5G 客户端访问的安全等的访问控制。3.视频监控云中心视频监控云中心视频监控云中心主要包括（视频图像）应用安全、（视频和图像）数据安全、系统和环境安全三大部分。1)（视频图像）应用安全：应用安全能力主要是通过应用攻击防护、应用脆弱性防护、应用日志和审计、防病毒等安全技术措施，来提升视频平台的整体安全水平。2)（视频和图像）数据安全：视频信息传

31、输过程中，除了保证视频信息传输线路和视频传输网络的安全外，还有更为关键的保证视频监控数据信息自身安全的举措，即针对一些安全级别更高的视频信息采用数据加密技术和软件对监控数据信息进行主动保护的措施，如数据加密、数据真实性和完整性校验、数据溯源、数据审计等。视频图像的数据安全要遵循 GB35114-2017 标准要求，包括对设备身份、客户端访问的身份认证、对视频流加解密、安全视频流的存储、转发等。3)系统和环境安全：对视频监控云中心的系统和环境的安全保障，包括网络和系统安全通用防护基础设施、机房安全管理、云平台安全管理、网络安全基础、存储安全等。4.安全管理：安全管理：为 5G 视频监控提供完整的

32、安全管理。5.安全基础设施安全基础设施视频监控云中心提供网络和系统安全通用防护设施和密码基础设施，基于15GB35114-2017 标准要求下，国密技术上的密钥管理系统，实现对视频设备身份认证、客户端用户身份认证、证书签发管理、视频流验证等。5 5G网络视频监控系统安全能力网络视频监控系统安全能力5.1 5G 安全能力增强安全能力增强5G 网络延续了 4G 网络中信令完整性保护、信令/数据机密性保护、密钥算法、接入认证等部分安全机制，并针对 4G 存在的安全问题进行增强与优化，扩展设计了相应的安全机制。5G 网络提供支持 5GAKA 和 EAP 的接入认证框架，扩展支持包括物联网、垂直行业在内

33、等各种新型认证机制。此外，5G 网络延续4G 网络中非服务化接口的安全机制，并支持面向服务化架构与网络切片等新技术的安全保护能力，为控制信令提供更严格的完整性与机密性保护、为微服务化的网络功能提供认证与授权保护。5G 网络在信令保护、数据保护、认证授权等方面的安全能力能够为视频监控业务提供基础安全保障，在视频监控业务的安全接入、运行等方面发挥作用。5.2 端到端安全隔离端到端安全隔离中国电信 5G 网络为视频监控业务提供端到端安全，基于网络切片、VPN、防火墙等技术，为业务提供端到端安全隔离保障。中国电信 5G STN 承载网为视频监控业务划分 VPN 承载接入，通过配合实施访问控制策略，提供

34、安全隔离、安全传输等安全承载服务，满足业务的安全需求。当视频监控业务在专网承载时，专网能够为业务提供安全隔离与访问控制保障。5G 端到端示意图161.网络切片隔离网络切片隔离5G 相较于以往的移动通信技术，在技术、架构等方面都具有重大创新，网络切片作为 5G 的典型创新技术，为垂直行业提供了差异化、个性化的可定制网络。从整体架构来看，网络切片由无线网、传输网、核心网子切片组合而成，通过端到端的切片管理系统进行统一管理，能够提供无线、传输、核心等多层次的安全隔离能力。对无线侧而言，网络切片通过利用 QoS 调度、无线空口 RB 资源预留和载波隔离、基站 DU/CU 隔离、NG-RAN 资源隔离等

35、主要技术实现 NR RAN 的资源隔离与安全保障。对传输侧而言，网络切片可基于 VPN、VLAN 等技术实现承载层面的软隔离，使得视频监控业务流量在虚拟网络中传输；可采用灵活以太网（FlexE）技术实现承载层面的硬隔离，为高可靠通信要求的视频监控场景提供性能、资源等方面的高安全保障。对核心侧而言，网络切片基于虚拟化技术构建。根据视频监控业务的安全需求，网络切片支持在为视频监控业务提供物理或逻辑的网络资源隔离，并将敏感网元部署在物理上安全的位置，实现物理环境、网络资源、网络通信层面的安全隔离，按需为视频监控行业客户提供定制、灵活的核心网络切片。2.承载安全承载安全根据视频监控安全业务的安全需求，

36、5G STN 承载网可划分专用或共用的VPN 承载视频监控业务。对于安全可信度低的平台系统，应与安全可信度高的平台系统使用不同的 VPN 承载业务；对于安全可信度相同的平台系统，可使用同一 VPN 承载业务。此外，5G STN 承载网按需实现不同程度的安全隔离，支持部署安全接入、检测或防护能力并对传输数据实施加密保护。为满足视频监控业务的交互需求，5G STN 承载网支持提供 VPN 间的互联互通服务，并基于“白名单”策略实施 VPN 间流量互通，确保仅允许与业务相关的、合规的流量通过。对于承载视频监控业务的 VPN，5G STN 承载网支持对接入 VPN 的平台系17统进行访问控制，对不可信

37、流量进行安全隔离过滤，进一步保障视频监控业务的安全承载。3.专网隔离专网隔离5G 技术促进各类垂直行业开启数字化、智能化转型道路，不同行业的差异化场景、差异化需求促使网络更加灵活和可定义。中国电信 5G 专网提供“致远”“比邻”“如翼”三类服务模式，能够满足视频监控业务的网络需求与性能需求。在安全方面，专网隔离是维护 5G 专网安全的基础手段之一，能够为业务的运行与管理提供访问控制、流量隔离等安全能力。在部署专网承载视频监控业务的场景下，中国电信 5G 专网能够为视频监控业务提供全面的安全隔离保障，确保专网与公网、专网与专网、专网与企业网之间的安全隔离。首先，中国电信 5G 专网能够为视频监控

38、业务在专网的网内传输、网间通信、网络管理等多类场景提供 VPN 防护，并支持对业务传输数据实施加密保护；其次，中国电信 5G 专网能够为专网边缘网络与企业网络提供安全隔离与访问控制，确保视频监控行业客户的企业网络与边缘应用安全。6 视频监控安全能力和实现视频监控安全能力和实现公安雪亮工程、互联网+监管的政策刺激，各行业社会视频监控接入市场面临井喷，安全问题随之产生。目前，视频监控行业存在前端摄像设备被非法劫持、视频信息泄露、视频信息被非法篡改等安全风险。为了保障基于 5G 通信下的视频信息安全，视频监控系统应符合公安部 GB35114 要求，即视频监控系统应支持设备接入安全、视频数据加密、签名

39、、认证等功能，视频监控系统应以多重机制提供端到端全链条的视频安全监控能力。6.1 前端设备前端设备6.1.1、能力、能力视频监控摄像机、5G 视频边缘安全网关等设备、具有如下安全能力：1）物理防破坏能力。2）强化的安全登录能力，可以防止因密码失窃或破解所导致的各类安全问18题。3）网络安全能力：包括具备网络攻击或入侵防护能力；通过固件升级方式修补漏洞能力；只允许获得授权的地址进行访问和信令通信能力。4）防信令功能功能：防止前端设备因接受到错误的指令影响工作状态。客户端（5G 移动客户端或固网客户端）具备强化的网络安全能力，包括：在为安全等级要求较高的用户提供定制化的服务过程中，安全视频系统在应

40、用层面进行用户管理和授权，支持基于终端唯一身份标识、数字证书等信息进行准入控制，防止非法移动设备接入。并采用基于属性或基于角色的访问控制模型对用户进行访问控制，依据安全策略控制用户对文件、数据库表等的访问。在 SDK 接入和客户端访问层面，两者都具备抗攻击能力，能抵御静态分析、动态调试、进程注入等操作；使用代码加壳、代码混淆、检测调试器等手段进行安全保护；软件启动、更新时需对自身的完整性和真实性进行校验，具备抵御篡改、替换或劫持的能力；采取防篡改机制保证数据不被其他程序篡改，采取加密措施确保敏感数据的安全。运用多重安全认证机制去保证用户对安全视频策略的自主可控。未搭载加密安全芯片的前端监控设备

41、，无法实现对视频流的加密接入，在接入过程中易被非法截获视频信息，存在安全风险。针对此情况，可将未搭载加密安全芯片的前端监控设备接入到视频安全防护网关设备，由视频安全防护网关设备把原前端设备输出的 H.264/265 等明文视频流进行签名和加密，转换成SVAC2.0(GB/T 25724)等格式的加密视频流，对摄像头的视频源数据进行加密后再接入到安全视频监控系统或本地客户端。与此同时，安全视频监控系统应对各边界视频安全防护网关设备进行统一管理、配置统一下发、日志统一分析，实时呈现边界安全态势。196.1.2、实现、实现视频监控摄像机、5G 视频边缘安全网关等设备通过如下方式实现其安全能力：1）对

42、前端设备及其配套设施（设备箱等）进行物理加固，特殊需求下可以通过物联网传感器实现防拆报警等功能。2）前端设备首次登录时应强制要求修改默认口令；符合 GB35114 标准的前端设备应内置符合国密标准的密码模块，接入平台时采用符合 GB35114 标准双向数字证书认证模式。3）已开启GB35114接入认证功能的摄像机必须采用数字证书方式实现直连登录，并关闭 Telnet、SSH 等直连登录方式。4）前端设备应关闭不需要的系统服务、默认共享和高危端口、阻断未知协议；5）通过定期对恶意代码进行检测发现潜在漏洞，并能通过数字签名校验的升级包进行固件升级；6）可设置 IP 地址过滤功能，只与获得授权的地址

43、进行信令通信7）采用符合 GB35114 标准的信令验签功能对信令进行验证注：5G 视频边缘安全网关5G 视频边缘安全网关主要部署在视频监控采集点，通过与（已有）普通摄像机的“串联”，实现网络安全加固和 GB35114 安全、人工智能和物联网融合应用等功能；参考下图：206.2 接入接入6.2.1、能力、能力在视频监控云中心网络边界提供接入安全能力，包括：1）边界安全隔离能力：仅允许 GB/T28181、GB35114、GA/T1400 以及 5G网专用协议传输，阻隔其他协议或数据接入。2）访问控制能力：只允许来自指定 IP/MAC 地址的前端设备、客户端接入；或只允许通过数字证书认证的前端或

44、客户端接入。3）内容检测和过滤能力：在安全隔离基础上，支持对信令和视频数据流内容检测，防止恶意代码夹带等。6.2.2、实现、实现通过在视频监控云中心部署安全接入系统实现与专网、公共网络的互联和接入，在提供安全能力的同时实现双向数据传输；主要实现方式包括：1）视音频流和数据分别处理和传输；通过视频交换链路实现视音频流的传输，通过数据交换链路实现 GB/T28181、GB35114 和 GA/T1400 信令或请求、其他数据（图片等）传输。2）访问控制：支持对接入数据的（前端设备、客户端等）源 IP、目的 IP、源端口、目的端口、协议、数据内容等字段内容做策略，进行访问控制。当数据流接入时，提取数

45、据的源 IP、目的 IP、源端口、目的端口、协议、数据信息和访问控制策略匹配，若匹配成功，放通该数据流、若匹配失败，阻断数据并告警处理3）数据包解析和过滤：当数据接入到视频专网时，对视频协议数据逐包进行特征解析，并与访问控制策略匹配，如果和访问控制策略匹配成功则将协议数据放行，如果匹配失败则将数据实时阻断并进行实时告警。当视频协议数据流放通时，记录协商的视频数据流，作为视频数据的访问策略，若视频数据流的访问策略为单向放通时，放通单向的视频数据，若为双向放通时，放通双向的视频数据，否则阻断视频数据，从而大大提升视频图像接入平台侧的安全性。216.3 系统和环境系统和环境6.3.1、能力、能力1）

46、机房物理环境安全：对机房出入人员和机房内行为进行有效管控。2）对视频监控服务器、云平台、存储、网络和数据库等进行安全加固，杜绝网络攻击、入侵和病毒等威胁。3）采用自主可控标准、技术和产品提供安全保障。6.3.2、实现、实现系统和环境安全在视频监控云中心进行部署和实现，主要包括1）机房部署符合等保 2.0 和国密标准的国密门禁和视频监控系统对人员出入机房的相关数据进行完整性保护。2）定期对服务器、云平台、存储、网络和数据库等进行安全扫描，分析安全漏洞，通过固件升级等方式进行修复3）部署网络安全监控设备，能实施监控、识别对服务器、云平台、存储、网络和数据库的入侵和攻击等行为，并能通过自动或手动方式

47、进行阻断。4）制定局域网访问控制策略；构建隔离的虚拟网络环境，对重要网段的访问可采用 IP 地址、端口访问控制等措施，避免来自内部的非法访问和网络入侵后的“横向移动”。5）通过部署网络流量检测或安全态势感知设备，对网络流量进行安全威胁检测，并能通过自动或手动方式对网络中存在的恶意威胁行为进行阻断6）对云计算资源进行隔离，保护宿主机和虚拟机的安全；通过多种机制保障容器和云主机安全，保障镜像数据安全7）采用 RAID 冗余等技术为视频数据提供可靠性保护；8）通过采用符合 GB35114 标准的视频数据签名来确保音视频数据在存储过程中的完整性。9）采用云存储技术的访问控制策略，保护视频文件内容不被截

48、获、盗链等违规操作，与 GB35114 视频数据加密功能共同保护视频文件的内容安全。22注：视频监控云平台参考架构如下图：图 1.平台技术架构示意图组成视频监控平台的整理逻辑构架整体上分为四个层次：资源池化层，这些资源层基本上是一些通用的软件和硬件，包括云存储，计算机虚拟化的管理软件。基础组件层，这些组件是一些开源的软件组成的，包括了分布式协调配置，分布式的数据库，分布式的缓存，分布式的索引，还有分布式的消息。这些组件为系统各个模块的通讯提供中间的消息转发，数据存储，提高整个系统并发能力，减少了模块复杂度。业务服务层，包括认证服务，目录服务，前端接入服务，级联服务，媒体分发、存储、录像回放和转

49、码这些服务。这些服务实现特定的协议交互流程。监控应用层。是实现监控客户端、管理管理界面的各类应用功能，如设备目录列表展示，实时视频的点播，历史视频回放，设备的控制，还有设备控制和设备属性的查询等。服务资源管理，是用来协调监控应用如何并发使用业务服务层提供的服务的。视频云安全密钥服务系统（密码基础设施一部分）为整个视频监控系统（包括前端、平台、客户端）提供面向 GB35114 标准的密码服务。视频云安全密钥服务系统为视频监控云平台提供国密算法和密钥服务，包括数字证书认证系统（CA/RA）、对称密钥管理系统和密码机服务等功能。云密码服务系统具有部署快捷、可靠性高和便于维护等优势。通过负载均衡模块在

50、多台物理设备（云密码服务器）上实现同一功能模块的多机并发服务和备份，从而满足视频云平台高可靠性和不断增长的前端接入要求。236.4 视频和图像数据视频和图像数据6.4.1、能力、能力基于 GB35114 标准的信源数字签名和加密技术，可以实现：1）视音频数据全生命周期完整性和真实性验证，可以在传输、存储、下载等任意环节通过对数字签名的验证来校验视频数据的真实性、完整性。2）视音频数据溯源：可以通过数字签名确认视频采集的来源和空间、时间等信息。3)视音频数据全生命周期完整性加密保护，可以在传输、存储、下载等各个环节保障视频数据的安全性。视频和图像数据的其他安全能力还包括：1）视频图像显示水印叠加

51、：可在视频图像播放时强制叠加水印，以防止偷拍等行为。2）数据访问控制：有视频监控云平台根据用户属性和权限控制对视频数据的访问；对于加密数据，其访问用户应拥有合法数字证书；支持通过临时授权方式，允许特定用户限时访问授权者指定的视频数据3）敏感数据脱密：可在符合数据安全法、个人隐私保护法等法律要求前提下，对敏感视频图像数据进行脱密处理后导出。对于图像（图片、短视频）、（人工智能或物联网采集等生成的）结构化信息等数据，可以结合 SVAC 扩展信息功能，在 GB35114 标准基础上实现类似上述视音频数据的数字签名、加密功能。6.4.2、实现实现1)GB35114 视频数据签名和验签实现过程：前端设备

52、（摄像机、5G 安全接入网关）通过国密安全芯片进行签名算法（SM2+SM3）计算，使用内置于国密安全芯片的的签名私钥对视频帧进行签名，签名结果连同前端国标设备编号和证书序列号附加到视频流中。24验签时，通过前端数字证书导出该前端的签名公钥，调用硬件密码部件（Ukey、密码卡等）针对码流中的签名进行签名验签。2)GB35114 视频数据加解密实现过程：前端设备（摄像机、5G 安全接入网关）通过内置的国密安全芯片每隔一段时间（通常为 1 小时）生成随机数作为视频加密密钥 VEK；然后再国密安全芯片内采用 VEK 作为密钥、对视频流进行 SM4 算法加密；再使用 VKEK 对 VEK 进行 SM4

53、算法加密，最后将 VKEK 版本号（及签名和设备 ID 等信息）附加到加密视频数据流中对外发送。在需要对视频流进行解密时，首先需要获得（用公钥加密的）VKEK，然后调用硬件密码部件（Ukey、密码卡等）依次解密出 VKEK、VEK 和视频流，再对视频流进行解码播放。3)客户端播放水印叠加：在视频播放时，通过将客户端信息（用户名、客户端 PC 机 IP/MAC 地址或 UKey 信息等）以（半透明）斜条纹、随机位置（半透明）内容窗口或二维码等形式强制叠加到视频播放画面上4）数据访问控制：视频监控云平台根据用户属性、视频数据属性、视频数据操作行为（观看实时视频、检索和播放录像）等，按最小权限原则配

54、置数据访问权限策略。5）视频数据审计：视频监控云平台支持实时展示和记录非法访问行为和正常业务统计，通过非法流量告警日志实现前端风险实时精准定位，可以图表方式呈现在什么地点、什么时间发生了什么非法访问行为；视频监控云平台日志可以回溯一段时间内（6 个月或以上）访问视频数据的所有行为，为视频数据访问统计和事件溯源等提供基础信息。6.5 应用应用6.5.1、能力、能力1）安全登录：用户登录到视频监控云平台必须采用口令、令牌/Ukey、指纹等生物特征、数字证书或短信授权码等两种或两种以上的组合机制进行身份鉴别。2）权限管理：对内部用户访问进行授权，根据用户不同角色、级别、所属机构/区域、任务和场景进行

55、鉴权、授权，实现功能级访问控制253）应用安全加固：为对视频监控平台和相关应用服务系统提供 WEB、API攻击防护能力；通过数字证书方式对应用安装包、升级包进行验证，防止非法修改4）日志：视频监控平台和相关应用服务系统视频图像应用系统具备操作日志记录能力，操作日志保护操作人、时间、终端、操作对象、操作条件、返回结果等信息；日志保存时间为 6 个月或以上。6.5.2、实现、实现1）基于 GB35114 标准的安全登录：GB35114 标准定义了用户基于数字证书登录视频监控平台的单向/双向认证方式；平台和客户端首完成对方数字证书的有效性校验，然后通过数字签名技术来判断认证双方身份真实性。2）按照国

56、密标准相关要求，客户端一般通过 Ukey 来完成数字证书相关功能。用户登录时，可以通过插入 Ukey 并输入用户名、口令的双重方式来实现安全登录。3）权限管理：视频监控云平台增加三种管理员角色账户，分别是系统管理员、安全管理员和审计管理员，形成互相制约的三权管理机制；对内部用户访问进行授权，根据用户不同角色、级别、所属机构/区域、任务和场景进行鉴权、授权，实现功能级访问控制3）应用安全加固：应用攻击防护主要是使用平台内置的协议防护策略和系统内部集成的协议正规化规则，该策略可以对不符合协议规则的网络数据，进行防御保护。未知威胁检测，主要针对应用层协议的正规化，如 HTTP 协议，SMTP 协议，

57、POP3 协议，FTP 协议等主流成熟的应用层协议。例如，当网络数据流的使用 HTTP 协议，但 HTTP 的请求不符合 RFC 标准文档的规范，系统利用内部集成了协议的正规化规则，会对数据流进行防护操作。应用脆弱性是指若发送总长度超过 65535 的 IP 碎片（IP 数据包最长具有65535 个字节），一些老的系统内核在处理的时候就会出现问题，导致崩溃或者拒绝服务。另外，如果分片之间偏移量经过精心构造，一些系统就无法处理，导致死机。26当发现分片报文时，通过网络数据包的 IP 协议层的 id，使用 DMA 硬件拷贝技术，快速拷贝报文内容，不影响网络数据的快速传输。通过综合分析有关分片报文的

58、信息，如分片报文的产生速度，分片报文的源 IP 和目的 IP，相关协议的限制等等，根据用户制定的规则，实现应用脆弱性的可靠防护。此外，视频监控云平台部署防病毒和入侵防御系统，其具有全面的特征库、先进的多病毒引擎及专业的检测引擎可对层出不穷的漏洞威胁及攻击手段提供全面的防护和加固。4）日志：视频监控云平台日志记录和审计功能；日志记录和审计能够覆盖到应用系统的每个用户；日志记录内容包括操作人、时间、终端、操作对象、操作条件、返回结果等信息。日志记录系统具备防删除、修改或覆盖等功能，日志记录保存时间不少于 180 天。6.6 安全管理安全管理1）资产管理：具备对前端设备和数据中心设备和系统（服务器、

59、操作系统、应用软件等）等资产信息统一管理能力；包括资产属性、漏洞信息、基线信息等2）脆弱性管理：支持对前端设备、数据中心设备和系统（服务器、操作系统、应用软件等）IT 资产进行安全检测，发现安全漏洞时提供修补建议3）安全基线管理：通过建立视频图像信息系统的安全基线，在安全合规检查的基础上提供评估报告4）安全策略管理：支持安全信息采集策略、安全事件告警策略、监控策略等安全策略的集中管理；并能结合安全风险、告警、威胁情报等信息实现安全策略优化5）安全事件管理：通过对各类安全事件信息进行数据治理，合并形成统一的安全事件库；）具备对安全事件进行事件处置过程管理和归档等功能6）安全预警：对来自相关部门的

60、安全事件、安全风险进行通报预警；能按照预警信息的重要程序、影响范围进行分级分类，提出相应的处置建议。7）安全处置：对涉及视频图像信息系统的安全事件进行及时相应和处置，对处置过程、结果等进行分类归档，形成应急处置报告277 5G视频监控安全应用场景及案例视频监控安全应用场景及案例“5G安全视频”将更多的应用在以高清视频为核心的多种场景中，主要涉及车载、无人机、临时部署、布线困难等需求。该系统前端选用具有 GB35114 能力的摄像机或普通摄像机加安全网关盒子方式，接入到 5G 通信模块，根据具体场景需求按需布放使用，通过中国电信 5G 通信网安全传输，汇聚接入到对应的应用平台，打造“5G+高清视

61、频+安全系统”的整体解决方案。7.1 车载应用场景车载应用场景7.1.1、应用功能、应用功能“5G+安全视频”在智能驾驶系统中的应用，可在线实时感知车辆周围环境，降低对 GNSS（全球导航卫星系统）、高精度地图及 V2X 的依赖；可以实现高分辨率、高清晰度、高可靠性的环境感知数据、人脸分析、疲劳检测、分心驾驶检测、危险行为检测等功能。1）人脸识别公共交通车辆作为人员流动性较大的公共场合，每日的人流量非常庞大。利用 AI 人脸识别技术将抓拍到的乘客人脸图片通过 5G 上传至监控中心进行对比，可以及时发现在逃通缉犯、小偷惯犯等。在发生民事或者刑事案件时能够提供犯罪嫌疑人的图片，为公安部图像侦查提供

62、相关证据。同时，基于人脸检测技术，还可以统计车辆内的乘客人员数据。此外人脸识别技术还能用于司乘身份验证，尤其是在一些安全级别较高的营运场景，如金融绝密押运、危化品物流运输等。预先采集司乘的人脸特征，对其进行身份识别和有效管控，在非指定人员驾驶车辆的情况下可立即报警。人脸识别可以有效提高特种车辆营运过程的安全，预防不法分子偷盗车等犯罪行为。2）移动车牌识别利用车辆前、后安装的摄像头，对车前方和车后方的车辆进行车牌识别，设备具备移动卡口的功能，结合卫星定位数据在 GIS 地图上可以定位所关注车辆所在位置，作为固定卡口的很好补充，很好满足移动治安刑侦的需求。3）公共交通客流统计28利用 AI 智能检

63、测与识别技术，可以识别监控画面中的乘客运动轨迹，进而判断乘客的上下车状态，实现对客流数量进行精确统计，为城市客流量趋势及人员流向提供准确的数据，满足城市线网优化需求。4）驾驶员行为与状态监测将 AI 视频智能识别技术与车载监控系统相结合，还可以做到对驾驶员行为与状态的监测。通过车内摄像头实时监控和测量司机脸部特征变化、头部活动及身体上半部分的反应和动作，结合人工智能算法评判出驾驶员的疲劳程度和不良驾驶行为（瞌睡、打电话、抽烟等）。当达到某一预设报警标准时，平台会迅速做出分析判断，及时发出相应报警提示。5）ADAS 与 BSD 车辆行驶状态监测ADAS 监测如：车道偏离报警，前车碰撞预警，行人及

64、非机动车识别预警；BSD 监测如：车辆左右侧盲区视频分析预警，通过视频分析技术判定车辆盲区是否有行人或者非机动车，并对驾驶员及时进行提醒，防止盲区事故的发生。7.1.2、行业应用案例、行业应用案例1）两客一危两客一危“5G+安全视频”主要对车辆抛洒滴漏、不按规定路线行驶、随意倾倒、疲劳驾驶等行为进行监控，还可对车辆是否密闭以及空重、举升等情况一同监控。执法人员可通过远程指挥平台实时回放查看所有车辆运行状态视频，实现全天候“巡逻”，平台发现问题可第一时间进行处理，形成了发现问题、迅速反馈、整改落实的长效工作机制。通过“5G+安全视频”系统的应用，进一步提升了对“两客一危”车辆全过程监控，既节约了

65、工作成本，又提升了执法效能，有力地推进了运输监管向信息化、智能化转变。2）执法车辆）执法车辆目前，运政执法方式主要为：路边守点、迎车拦截、上车检查、判断违章。这种传统的守点检查方式耗时耗力，每日有效拦截车辆仅能有 8-10 辆。在使用5G 执法车辆后，执法车辆只需要跟随前车 1 秒钟，系统即可通过“5G执法终端高清视频实时回传车牌智能识别”方式，将路上行驶的营运车辆车牌信息实时回传后台，通过与后台数据库比对，现场执法队员即可实时获知该车辆的经29营业户信息、经营范围、车辆 GPS 安装和在线情况、车辆是否正常年检、过往违规记录等相关营运信息，迅速发现问题车辆，同时通知前方执法单元，对问题车辆进

66、行拦截，实现精准执法。3）自动驾驶）自动驾驶/辅助驾驶辅助驾驶目前，自动驾驶技术靠两种系统来实现：一是激光雷达系统，但成本过高，推广不易；另一个就是视频监控分析系统，这项技术已较为成熟，价格低，易推广。在自动驾驶所有技术当中，基于视像的技术较为突出，通过视频监控，可以实时分析路况、车辆及行人信息，辅助汽车做出有效、及时的反馈。在辅助自动驾驶方面，通过车内摄像头，可以直接观测到车主实时的驾车状态。并且通过算法计算，监测到车主，在使用自动辅助驾驶时的状态。如果车主没有时刻注意路况和车辆的行驶状态，在自动辅助驾驶状态下，系统会对驾驶员进行提醒，避免引发危险意外。7.2 临时部署应用场景临时部署应用场

67、景7.2.1、应用功能、应用功能目前，监控摄像头一般采用有线回传，面临布线成本高、部署周期长、检测维护困难等问题,随着 5G 网络的普及和带宽的提升，无线监控系统将很大程度的取代有线监控，尤其是在无有线网络覆盖区域、部署时间有限、频繁更换监控地点的环境下，无线监控的优势在于临时搭建、即插即用，可以实现快速部署，无需提前布设管道、线材，单机即装即用，有效保障施工的效率。7.2.2、行业应用案例、行业应用案例1）工地监控应用）工地监控应用在工地场景下，由于工地随着建设的不断推进，环境不断变化，视频监控的安装位置和环境也随着变化，有线线路铺设也收到影响和限制，基于该场景下，可采用 5G 安全视频监控

68、方式，基于对视频监控的安全传输和应用的要求，前端选用具有 GB35114 能力的摄像机或普通摄像机加安全网关盒子组合，再接入到5G 通信模块，安装范围可根据实际要求和现场环境而定，随时移动更改，通过30中国电信 5G 通信网安全传输，汇聚接入到对应的应用平台，实现 5G 工地安全视频监控的汇聚、存储、调阅、应用等。2）5G防疫视频监控应用防疫视频监控应用疫情就是命令，新冠肺炎疫情新冠疫情还在蔓延，防控工作依然严峻，一旦有疑似病例或核酸检测异常情况发生时，需对其活动范围内进行封闭的核酸检测、流调、隔离管理，防疫指挥调度等工作；疫情的核酸检测、疫苗接种、隔离措施都存在突发性和紧迫性，随时随地立马解

69、决，这对防疫工作提出更高的要求和压力。因地制宜的快速布控防疫监控是对防疫工作的提供信息化手段的最有利的方法，但由于随地性，布控的场所不一定有可用的有线网络，因此需采用 5G 视频监控解决，基于对防疫视频监控的安全传输和应用的要求，前端选用具有GB35114 能力的摄像机或普通摄像机加安全网关盒子方式，再接入到 5G 通信模块，根据防疫需求按需放置使用，通过中国电信 5G 通信网安全传输，汇聚接入到对应的应用平台，实现疫情防控的核酸检测现场、隔离场所现场、封控区、防控区、防范区重点场所、流调办公场所等现场实时调阅，为疫情防控决策指挥提供实时视频数据支撑。3）重大活动保障应用）重大活动保障应用随着

70、国家建设和经济的快速发展，各地不仅大量举办展会、体育比赛等活动，传统节假日和民族宗教活动也日益增多。为满足各类重大活动期间安全保卫工作的需要，在重大活动场所及其周边地区的相关道路、设施等临时部署视频监控设备成为警卫安保的工作一部分。5G 视频监控系统具有部署快、传输容量大和安全性保障等多重优势，已在各地的重大活动保障工作中获得应用，并取得良好效果。以马拉松比赛为例，通过在马拉松比赛起点、终点和途中重要位置临时部署5G 视频监控设备，并接入到公安等相关部门视频监控系统中，不仅能让指挥中心实时观察活动举办情况和人流量密度等关键信息，还可以通过人脸识别等智能应用对潜在威胁进行预判和快速锁定。317.

71、3 无人机应用场景无人机应用场景7.3.1、应用功能、应用功能5G 无人机，是当前最具创新精神的移动通信应用之一。虽然目前市面上已经有很多无人机，但他们基本都是通过 WiFi 和蓝牙连接的，只能满足人们的一些娱乐体验。要想从狭窄的娱乐应用空间迈向更为广阔的行业应用市场，无人机离不开通信的支持，而 5G，将会为无人机应用带来新机遇。1）高清直播）高清直播在我国雄安新区第一栋地标性建筑“市民中心”的建设过程中，无人机的高清视频直播提供了从空中俯瞰的实时画面，为近距离观察市民中心建设情况提供了极大的便利。雄安新区的另外一个重要景观-白洋淀，无人机的高清直播可以把白洋淀的风景实时传到 20km 之外的

72、市民中心临时指挥部。视频直播采用专业级航拍无人机，支持实时回传 1080P 30 帧高清视频，通过与之相连的 5G TUE，将高清视频信号通过 5G 网络传输，供远在市民中心的参观者观赏。2)VR直播直播在 4G 时代，VR 行业一直苦于 4G 网络环境的带宽限制而无法实现高清的VR 视频直播，导致 VR 直播应用发展缓慢。随着 5G 的到来，可实现上行单用户体验速率 100Mbps 以上，空口时延 10ms，将使得 VR 直播更加流畅、更加清晰、用户体验更优。无人机通过挂载在无人机机体上的 360 度全景相机进行视频拍摄，全景相机通过连入 5G 网络的 CPE 将 4K 全景视频通过上行链路

73、传输到流媒体服务器中，用户再通过 VR 眼镜、PC 从该服务器拉流观看。327.3.2、行业应用案例、行业应用案例1）公共安全视频监控布控）公共安全视频监控布控5G 网络的大带宽、低时延实时视频流回传至控制中心，融合 AI 深度学习能力，快速视频分析实现多手段的目标锁定及实时跟踪监控，控制中心能通过 5G网络向无人机飞行控制系统发送控制指令，极大地提升传统无人机用于安防场景的效率。无人机与结合实现多种功能，达到全方位无死角的安防布控：控制中心人员通过 VR 眼镜的 4K 高清视频呈现实时观看和与地面安防设备的同步联动，优势互补，最大化安防场景能力；控制中心人员通过 VR 眼镜、PAD 等地面

74、控制终端经由 5G 网络远程控制无人机机载摄像头 的转向、无人机的飞行状态及路线，进一步追踪锁定目标；无人机对突发安防场景问题的预判以及自动识别的目标实现进行自动跟踪。通过智能无人机飞行平台以及 5G 蜂窝网络能力的有效引入，促进了传统安防产业像天地一体化协同作战的方向转型以及多场景安防能力的智慧升级，必将作为一种新型的安防解决方案模式得到更加广泛的应用，从而促进传统安防服务商的智慧升级，从而带到整个产业的发展。2）电力输电线路巡检）电力输电线路巡检电力设备中输电线路一般位于崇山峻岭、无人区居多，人工巡视检查设备缺陷的效率较低，因蛇、虫、蚁等小动物咬伤员工的事件也屡见不鲜。另外，输电铁塔、导线

75、、绝缘子等设备位处高空，应用无人机巡查，既能避免高空爬塔作业的安全风险，亦可以 360全视角查看设备细节情况，提高巡视质量。当前的 4G 网络只能支持 1K 的图传，对于某些细节检查，视频和图片的清晰度明显不足，而 5G 网络可实现上行单用户体验速率 100Mbps 以上，空口时延10ms，将使得实时视频更加流畅、更加清晰、巡查效果更优。33多旋翼无人机可分别或者组合搭载高清变焦相机、红外相机、夜视相机、激光雷达等多种传感器，传感器通过连入 5G 网络的 CPE 将视频流通过上行链路传输到流媒体服务器中，用户再通过 PC 从该服务器拉流观看巡查，实现电力线巡查高清视频的即拍即传。无人机 4K

76、视频实时回传，上行实时 30Mbps 带宽；多机协同 360全景拍摄，数据冗余采集，减少由于对巡检目标对角、光线不一致、图像漏拍等导致的GIS 图像 3D 建模失败，节约成本 3090%；地面站与管理中心进行内外场协同作业，即时发现问题并进行图像复采集，作业效率提升 4080%。3）运营商基站巡检）运营商基站巡检基站天线工参定期检测工作是移动通信系统维护工作最基本、最重要的工作之一。常规的人工攀爬基站巡检受到多方面包括天气、环境、仪表、人员操作等因素的影响，造成人工巡检效率较低，无法按时完成任务。通过 5G 网联无人机基站巡检方式，在降低了人工劳动强度的同时也降低了人工登塔作业安全风险，提高了

77、巡检效率的同时也节省了时间成本。网联无人机采集、拍摄基站数据并回传数据至主服务器，人工对数据进行处理，并编辑生成报告。4）无人机水务）无人机水务无人机在水务方面的应用越来越广泛，如水质监测、日常巡查、水文数据获取、防汛抗洪、水土保持监测等等。网联无人机水质监测是在水务方面的创新性应用。无人机荷载多光谱相机进行水体地物光谱采集，利用采集的多光谱影像，通过自主研发的聚类分析算法，对多光谱遥感影像数据进行针对水质特征的影像聚类分析，得出水质状况定性结论。结合抽样水样检测数据获得定量数据，综合 分析，可总体掌握监测水域的水质状况。相比监测站点加人工排查的方案，利用网联无人机获取水文水质数据，覆盖面积广

78、、成本更低、效率更高，能实现全流域的实时动态水质监测和强大的水文水质数据获取能力，拥有广阔的市场发展前景。345）无人机物流配送）无人机物流配送近年来，国内外的主要物流企业纷纷开始布局无人机配送业务，以实现节省人力、降低成本的目的。通过 5G 网络，可以实现物流无人机状态的实时监控、远程调度与控制。在无人机工作过程中，借助 5G 网络大带宽传输能力，实时回传机载摄像头拍摄的视频，以便地面人员了解无人机的工作状态。同时，地面人员可通过 5G 网络低时延的特性，远程控制无人机的飞行路线。此外，结合人工智能技术，无人机可以根据飞行任务计划及实时感知的周边环境情况，自动规划飞行路线。6）无人机应急通信

79、及救援）无人机应急通信及救援我国幅员辽阔，多样的环境和气候特征使得各种自然灾害时有发生，因此，灾后的救援工作尤其重要。利用无人机灵活性强的特点，当灾害发生时，使用搭载通信基站的无人机，基于规划的路线飞行，触发受灾被困人员手机接入机载基站网络，实现对被困人员通信设备的主动定位，确认被困人员的位置及身份信息。同时利用 5G 网络的大带宽传输能力，通过机载摄像头实时拍 摄并回传现场高清视频画面，结合边缘计算能力与 AI 技术，实现快速的人员识别及周边环境分 析，便于救援人员针对性地开展营救工作。通过该产品与传统搜救方式的结合，可有效降低搜寻时间，保证被困人员能够在第一时间得到有效救助，最大程度地减少

80、人员伤亡，具有显著的社会效益。7）野外科学观测）野外科学观测野外科学观测是指在野外条件下通过对生态环境、动植物的指标要素进行长期采集、数据积累和测定，确定其变化趋势，帮助科研人员进行研究，是生态学、气象学等领域的基本研究手段。野外科学观测地点普遍远离城市，通过应用多种传感器、视频监控设备、数据采集器、通信网络等基础设施，能够实现科研数据的采集、存储、传输，形成信息化的研究环境。35然而，在广域的青藏高原冰川、内蒙古草原、新疆戈壁等环境下，建立监测系统需要的成本较高。无人机基于规划路线飞行，可实现广覆盖、低成本的视频数据和遥感数据的采集。5G 网络增加监测视频数据和遥感数据的上行传输速率，并降低

81、空口时延，提高野外科学观测的效率。结合 5G 网络的大带宽和低延迟高可靠性能，实现科学观测系统原始数据、视频数据的实时观测。如：气象领域高频的原始流数据采样频率较高（10Hz），基于 LTE 网络实现实时数据传输困难。另外在观测系统架构中，通过边缘计算在本地筛选并计算有效数据，剔除重复和无效数据，提高系统工作效率。7.4 布线困难应用场景布线困难应用场景7.4.1、应用功能、应用功能视频监控行业中传输方式分为有线传输和无线传输，目前占主导的有线传输视频监控领域产品和技术正在经历高清、智能化快速发展。伴随随着 5G 的到来，无线视频监控更易于部署，更便利的优势将得到更大的发挥，无线视频监控也将得

82、到更大的发展。有线传输所受到的限制比无线传输要多得多，有线传输的部署也要比无线传输复杂得多。具体应用场景：1）无法布放有线网络：电力高压线线路、高速公路、环境监测、森林防火、石油输油管线等环境下有线网络基本无法到达或者布线成本会非常高；2）危险场地：易燃易爆等危险场地监管人员根本无法接近。3）无人值守区域：水利、矿山、偏远地区等无人值守监控区域。在以上提到的这些地方无线监控就能有效地保障监管人员的监控需求和人身安全。367.4.2、行业应用案例、行业应用案例1)5G工业互联网视频监控应用工业互联网视频监控应用5G 在工业互联网上的应用越来广泛，工业互联网有着低时延、高带宽、广连接的需求，特别是

83、自动化控制、机器人自动化生产，需要 5G 视频监控提供实时、安全的视频监控数据，支撑自动化生产的可视化视频数据依据，基于对视频监控的安全传输和应用的要求，前端选用具有 GB35114 能力的摄像机或普通摄像机加安全网关盒子组合，再接入到 5G 通信模块，安装布放在工业生产线上、生产机器人上，通过中国电信 5G 传输网传输，连接到对应的应用平台上。2)5G明厨亮灶视频监控应用明厨亮灶视频监控应用明厨亮灶行业应用主要涉及到前端监管对象包括学校、小吃店、食品加工店、连锁餐饮店、大排档等校园类和社会单位类，其中小吃店、食品加工店、大排档等场所不一定具有满足明厨亮灶视频监控接入的网络资源，可采用 5G

84、视频监控方式，基于对视频监控的安全传输和应用的要求，前端选用具有 GB35114 能力的摄像机或普通摄像机加安全网关盒子组合，再接入到 5G 通信模块，通过中国电信 5G 传输网传输，连接到对应的明厨亮灶应用平台上。3)5G政务服务视频监控应用政务服务视频监控应用基于 5G、大数据、人工智能、云计算等新一代技术打造的全新的政务服务+AI 监督管理平台，将 XX 省全省政务服务大厅上的监管视频进行全省联网，基于中国电信 5G 传输网传输，平台是基于 GB35114-2017 C 级视频安全能力上搭建的政务服务视频监控应用，满足基于政务服务监管视频的安全接入能力，主要内容包括有监督管理门户、任务管

85、理、在线监测、政务服务全景图、大厅视频监控、外部系统对接等，各级政务服务管理机构可以通过平台随时随地全面准确掌握政务服务运行情况，监测线下大厅实时运行情况和线上线下办件情况，查看效能监督、“好差评”、咨询投诉等数据，支撑政务服务管理部门开展指导监督和考核评估工作，为各级政务服务人员提供培训学习和互动交流等服务功能。377.5 中国电信面向中小型用户的中国电信面向中小型用户的 5G 视频监控运营服务视频监控运营服务7.5.1、天翼视联网、天翼视联网在“云网融合 数智相生”为主题的“2021 国际数字科技展暨天翼智能生态博览会”上，中国电信暨移动网、宽带网、卫星网、物联网 之后正式发布“第五张网”

86、天翼视联网，它将成为全球最大的运营商级别的视频回传和处理网络。天翼视联网以中国电信云网能力为基础，建设视频监控的数字化能力底座，奠定视频监控产品长期稳定发展的能力基础。结合 5G 安全接入网络作为适用无有线网络环境下的场景下的安全视频监控联网传输资源，服务节点按照安全视频架构设计，支持 GB35114-2017 标准，满足各行业视频监控数据资源安全接入、汇聚、云存储、调阅、转发、应用等需求，目前已接入各类视频监控约 3 千万路，并与公安、应急、教育等政府单位进行平台对接，推送相关视频资源，建立全国运营商级的 AI 中台，服务公安、应急、乡村、民政、酒店、娱乐场所、医疗、教育、社区、酒吧等行业。

87、7.5.2、天翼看家、天翼看家天翼看家是采用中国电信定制的智能摄像头硬件，使用中国电信天翼看家平台和天翼云存储能力为客户提供的家庭安防与看护类产品。客户可通过小翼管家操控摄像头，随时随地查看家中现场及云端存储的历史录像，实现看家护院、爱老 护幼、务工亲情等多种场景应用，截止报告发布前设备接入数超 3000 万。天翼看家是基于云化开放的自研集约平台，通过“光宽+4G/5G”网络安全架构接入，快速实现“云+网+平台+应用+服务”全方位安全保障。7.5.3、天翼云眼、天翼云眼天翼云眼是基于标准产品、快速放装、模式创新、能力开放核心优势，推出区域雪亮、明厨亮灶、天翼应急、智慧厅店等标准行业应用，基于能

88、力开放平台，赋能支撑各省平台及合作方集成个性化定制应用。对于客户存量摄像头接入应用的情况，可采用 5G 视频监控方式，基于对视频监控的安全传输和应用的要求，前端选用具有 GB35114 能力的摄像机或普通摄像机加安全网关盒子组合，接入中国电信 5G 传输网传输，连接到天翼云眼应用平台，实现安全可信、安全可视、38安全可控。8 总结与展望总结与展望视频监控安全服务市场是智能安防市场中一个比较有特点的细分市场，一直以来都是重要的“充分且必要”的配套设备与服务市场。近年随着相关热点事件频发、国家出台相关立法使得视频监控安全服务市场产生了从量变到质变的转变，与往年相比，视频监控安全服务市场主体和市场体

89、系发生了巨大的变化，围绕视频监控安全市场的各种产品解决方案、市场参与方表现出了自主可控国产化、产品形态多样化、市场投资采购交付各环节的差异化等特点。2023 年视频监控安全市场的发展态势将呈现以下 3 个特点：1.企业服务侧的视频监控安全服务将成企业服务侧的视频监控安全服务将成“标配标配”企业服务侧的视频安全服务将会在国企央企、智能制造、能源电力等领域快速成为标配，进而成为企业服务侧的市场主体的视频安全服务共识。企业服务的IT 部门将从传统的数据安全延伸到视频监控的前端业务中，形成安全解耦：“安”和“全”。“安”解决的是视频采集、汇聚、解析、查录播控等内容与业务相关的数据泄露、信息解密、信息传

90、输、数据交易等企业切肤之痛。“全”解决的是视频数据的一致性、完整性、高可用性、备份容灾、数据防篡改防抵赖。2.视频监控安全产品形态多样化视频监控安全产品形态多样化2023 年视频监控安全服务市场的视频监控安全产品形态多样化将会是大势所趋。产品形态由安全服务零星采购转变为大规模的全域覆盖、全链赋能的统建共治模式的丰富产品形态，包括视频安全服务的大平台、小系统、轻终端、微服务、核芯片等产品形态，其中视频安全服务芯片的国产化自主可控、随着视频监控前端 14 纳米工艺的国产化成熟量产，GB35114 国标指引下的视频安全可信计算芯片及安全视频监控系统将会成为新建扩建项目的标配。丰富的产品形态必将带来更

91、多增量市场关联影响。3.个人与家庭的广泛使用个人与家庭的广泛使用个人与家庭已经广泛使用了互联网或家庭宽带为传输方式的摄像头设备，用于远程监控、远程对讲，为在外工作的人们提供了清晰的看家、看老人、看宠物的连接方式，由运营商捆绑销售的家庭宽带套餐中已经广泛包含了摄像头设备。39各种智能网联新能源汽车也都标配了能够联网的车载视频和行车记录仪设备，小区楼道、电梯都广泛安装了摄像头设备。个人与家庭视频监控的普及化，各种车载视频、家庭视频、楼宇电梯视频的安全性需求都将带来新安全产品、新 NVR设备、新安全监控摄像头的市场增长机会。视频安全服务对视频监控存算管、查录播控基本场景中会带来新的产品技术创新突破，

92、视频存储设备如何存安全、怎么验证安全等问题将为视频存储厂家带来新的增值服务销售机会。40附录一：术语及缩略语附录一：术语及缩略语ADASAdvanced Driving Assistance System高级驾驶辅助系统AIArtificial intelligence人工智能BSDBlind spot vehicle Discern System盲点车辆识别系统CA/RACertificate Authority/Register Authority电子商务安全认证CPECustomer Premise Equipment用户前置设备DDoSDistributed Denial of Ser

93、vice分布式拒绝服务攻击DU/CUDistribute Unit/Centralized Unit分布单元/集中单元DVRDigital Video Recorder数字视频录像机eMBBEnhanced Mobile Broadband增强移动宽带FTPfile transfer protocol文件传送协议HTTPHyper Text Transfer Protocol超文本传输协议mMTCMassive Machine Type Communication海量物联网通信NVRNetwork Video Recorder网络视频录像机PCPersonal Computer个人电脑QoSQ

94、uality of Serice服务质量RAIDRedundant Array of Independent Disks磁盘阵列RBResource Block资源块SDKSoftware Development Kit软件开发工具包SMTPSimple Mail Transfer Protocol简单邮件传输协议STNSmart Transport Network智能传输网络uRLLCUltra-reliableandLowLatencyCommunications高可靠低时延通信VLANVirtual Local Area Network虚拟局域网41VPNVirtual Local Area Network虚拟局域网VRVirtual Reality虚拟现实附录二：参与编写单位和编写人员附录二：参与编写单位和编写人员编写单位及编写人员：中国电信集团有限公司：李鹏，毛聪杰中星微技术股份有限公司：施清平、陈倩天讯瑞达通信技术有限公司：曹雪松，道炜，肖建武，梁倚琳天翼数字生活科技有限公司：陈培实，李敬昭中国电信股份有限公司研究院：李柯，沈军广东省通信产业服务有限公司研究总院 林宁