“深挖洞、广积粮、高筑墙”，安防平台未来发展价值主张

【安防在线 www.anfang.cn】已经过去的2019年是安防行业承上启下、行稳致远的一年。在这一年中，整个行业经历了国家经济结构升级、供给侧改革、科技战和贸易战的洗礼，既看到了自己在芯片、基础设施、自主可控等领域的不足和隐忧，也发掘了在智慧城市、智慧社区、老旧小区改造、5G、AIoT等领域的历史机遇。可以说，在这个百舸争流不进则退的大时代，危与机同在，忧与喜参半。

聚焦到安防管理平台（以下简称安防平台），基于多年来在技术、行业、数据、架构等方面的积累已经相对比较成熟和稳定了。从今年深圳安防展来看，海康、大华等龙头企业基本上也是对去年产品的延伸和扩展，并没有太多革命性新品出现。

那么安防平台的现状是怎么样的，有些什么特点？面临的主要挑战是什么？将来的发展趋势是什么？本文将会尝试回答以上几个问题。

　　一、安防平台不断升级，呈现“五化”特点

安防平台的历史与安防行业一样古老。从“远古”的模拟时代开始安防平台就已经出现，并随着安防前端设备的升级而升级。从近几年的情况来看，安防平台整体呈现了以下特点。

（一）泛在接入化

泛在即广泛存在，具有最广泛的接入能力是一个安防平台的核心基础。这些年来，随着国际国内两个方向的标准日趋成熟和稳定，安防前端设备的接入已不再是个问题。在这个基础之上，物联网设备的接入和管理、非标准化业务数据的互联互通、多网融合、私网穿透则又成为了安防平台新的标签。也就是说，在这个层次，一是要处理好接入协议和接入设备种类的问题，二要处理好网络通透与融合的问题。

在接入协议上，无论是单纯的设备接入还是平台接入，抑或业务数据接入，目前基本上都能做到“有章可循有法可依”。这是行业内各个厂家各个领域磨合的必然结果，也是在中国这种市场体量下必须要迈出的一步。

网络则是安防平台不得不考虑的问题。无论是在视频专网还是公安内网，也无论是在互联网还是局域网，从三层到五层协议就不是那么整齐划一了。比方说在局域网下我们可以采用基于类似New Reno这样的拥塞控制算法的TCP进行视频传输，但在“long-fat”的互联网上就不那么合适了，可能Google提出的BBR是更优的选择。再比如说大家耳熟能详的跨网闸/关闸，不但与三层四层协议相关，甚至与应用层会话层表示层也强相关。类似这样的网络问题，安防平台必须审慎处置，做到“精准施策”。当然这是个长期的过程，是理想也是目标，这意味着目前的安防平台还有许多需求可以做，还有许多潜力可以挖。

（二）泛在数据化

伴随着接入的泛在化，数据也必然呈现出同样的泛在化趋势。这是由接入协议、接入设备类型和数据种类的泛在化造成的。目前一般划分为结构化数据、半结构化数据和非结构化数据三种类型，且这些数据根据其本身的特点（例如并发性、实时性、时序性、数据属性等）可以由多种载体进行存储并支持查询和分析。这些载体既包括Hadoop家族的众多组件，也包括其他开源闭源的相关设施。可以说，在数据领域中国的工程师们发挥了极大的聪明才智为我们提供了集存储、查询、分析、聚类等多种功能的饕餮盛宴，用那句老话说就是“玩出了花样，玩出了特色，玩出了水平”。

安防平台在这种玩法下逐渐适应直至完全“入戏”，终于从配角熬成了主角。纵观各个厂家的安防平台，基本上都会有一个“数据湖”或“数据仓库”这样的组件来承载上面这三种数据，而这些数据仓/数据湖是没有统一标准，没有规定必须有什么必须做什么，而是根据产品/项目的实际需要来建设。例如一个智慧交通平台的数据仓，由于要汇聚大量实时并发的过车数据，而与一个数据量稀疏的智慧园区平台的数据仓在基础组件上大相径庭。

安防平台与大数据平台的结合，也是在细分领域深入应用的与时俱进。

（三）平台层次化

遥想当年，安防行业雄姿英发的时候，一个安防平台真的就是一个安防平台，其接入、媒体转发、存储、业务等等都是并列的扁平的，羽扇纶巾小而美。

近年来，伴随着互联互通和行业应用的需要，安防平台的设计逐渐层次化。例如我们把接入、转发等定义为“接入层”，这一层可能是一个扁平化的数据汇聚平台，一般也放在最底层。数据汇聚了以后，要分门别类进行存储和分析，于是就有了“数据层”，这一层一般放在中间。再往上各层业务要基于数据做应用，而业务是随着项目、领域的差异而变化的，这一层一般被称为“业务层”，同时也是安防平台最差异化最与众不同的一层，决定了利润的厚薄。除此之外，在各层中间可能还有一些“垫片”，例如数据中台、业务中台、技术中台、数据可视化平台等等。这些中台各家有各家的定义，每一家甚至每个人都对其有着不同的阐释。在这些灰**域我们可以“猫论”一下：只要能满足需求、易于扩展、减少定制、提高性能、便于运维就是好中台，是不是要求很低？

　　图1 某社区安防平台的层次化架构

因此，可以按照“服用云管边端”的理念来分层整个平台，当然也可以按照实际情况丰俭由人多寡随意，打出个“三缺一六缺二”也是可以的。

现在的安防平台已经不再是一个单纯无邪的安防平台了，更像是一个“大而壮”的数据业务联合体，而业内厂家也对这种平台赋予了“XX城市大脑”、“XX城市心脏”这样的名字，多维管控之意跃然纸上，一听就是缺了它不行的，当然可能缺了它确实不行。

（四）人工智能化

当今的安防平台AI自然不能缺席。近年来随着人工智能技术的长足发展，结构化识别的准确率和性能有了极大的提高。一方面在安防终端一侧基本上都嵌入了AI能力，使人脸识别、车辆识别这些最常用的功能下沉到了最基层；另一方面平台的AI能力更加强大，特别是伴随着异构计算技术的加持，标量、矢量、矩阵和空间计算各回各家都找到了最适合自己运行的莲花宝座，更使得人工智能如虎添翼。现在的安防平台没点AI算力谁还好意思出来混？另一方面，TensorFlow等框架日臻完善和流行，使数据的训练学习更加简单，这也极大促进了各个厂家自研基于深度学习的AI应用的积极性。可以说目前的安防平台“无AI不安防”。

（五）业务细分化

业务层是各个安防平台差异化最大的地方，也是最出彩的地方，从历届安防展上便可以一窥究竟。特别是近年来公安、社区、城管等基层单位对信息化、数据化的要求与日俱增，正向拉动了安防平台业务系统的深耕和定制。远远望去，各个安防平台更像是“公安实战平台”、“社区服务平台”、“应急指挥平台”，实际上他们都脱胎于传统的安防平台，无论是实战还是服务抑或指挥，其数据都来源于最底层的最具备安防平台气质的接入层。

从用户的角度来讲，平台最常使用的一定是业务模块，因此业务的细分和深耕就成了必然选择和主攻方向，这要求业务平台出淤泥而不染，接地气而不俗，要有特立独行的一面，既能满足基层单位日常使用的需要，也能满足上级单位视察演示的诉求。每个平台都能列出一堆场景讲出一堆故事，而这些场景和故事往往是最耗时间最耗人力的。

可以说，过去的2019年是安防行业精彩纷呈的一年。各个平台以业务为抓手“一城一策”、“一城多策”，大家喜气洋洋地驰骋在智慧城市的建设道路上，却不觉安防平台已褪去了安防的本色，逐渐打上了智慧大脑、应用使能、多维管控的标签。

　　二、自主可控、网络安全、业务深耕等挑战待突围

当2020年的新年钟声敲响时，安防平台将面临着怎样的挑战？这里笔者抛砖引玉谈一谈。

（一）自主可控的隐忧

安防平台（暂且还称之为安防平台）基本上都是应用软件，依赖于操作系统和处理器架构，特别是由于历史原因造成了应用软件大多依赖于X86处理器。而X86/X64体系下的处理器又都来自于Intel或AMD，这造成了自主可控的第一个隐忧。

另一方面，国内ARM、MIPS等架构的处理器无论从性能上还是可扩展程度上抑或生态上都暂时无法与X86处理器相抗衡。同时，如果选择了非X86处理器，还意味着操作系统的切换，这对于分层成熟、依赖库众多的安防平台软件不啻于一场生态灾难。

再者，各种用于加速的协处理器也是个短板。基于视频编解码和AI的诉求，安防平台对于向量计算的要求很高，而适合于向量计算的GPU又是自主可控的隐忧之一。特别是无论基于Intel核芯显卡还是支持Intel与AMD处理器扩展的NVIDIA显卡无论从编程语言上还是开源框架上都已非常成熟，使安防软件又不得不依赖于这种生态。

在操作系统层面，微软更是借助Wintel联盟拿下了操作系统的绝对优势份额，国产系统从易用性、软件生态和稳定性上都还有待于验证，因此操作系统的突围也是个严峻的话题。

（二）网络安全的威胁

随着近年来网络安全成为国家和业内强调的主旋律之一，安防平台也不得不考虑安全问题了。一般来说，网络安全可以分为系统安全、网络安全、数据安全、应用安全、物联网安全等几个细分场景。

1.系统安全：这主要是指操作系统的安全，包括反植入、漏洞修复、病毒查杀等等，其利用的技术一般都是位于内核层的，APT、驱动堆叠、SSDT、HOOK、Rootkit、Meltdown、Spectre等高深莫测的词汇是它的标签。不过这一层基本上是操作系统甚至处理器内的战争，是安全厂家的能力圈，安防平台软件位于操作系统之上，在这一领域可以暂时放心。

2.网络安全：这是指狭义上的网络安全，主要是指Anti-DDOS攻击、防会话劫持、防入侵、数据安全摆渡，这也是安防平台经常遇到的现实威胁。目前的主要应对策略是防火墙、安全网关、网闸、DPI等这些技术，但都是基于事后补救策略的，也就是“把鬼子放进来再打”，不能“御敌于国门之外”。

3.数据安全：数据安全涵盖了数据加解密、握手可信性、验证合法性、视频私密性等多方面的内容。在安防平台中，视频私密性尤其重要。近年来，随着国密算法的成熟，基于国密的数据安全的规范和系统也丰富起来。公安部一所制定的GB35114就是对视频内容安全的一次成功践行。安防平台今后要在数据安全方面做更多加强。

4.物联网安全：在安防领域，物联网安全主要是指IPC设备的安全准入、漏洞扫描等内容。这是一个相对比较新的领域，使用的一般是IPC指纹技术。指纹技术分为主动探测和被动监听两种模式。在这一领域，安防行业的头部企业已经基本完善了全系列产品的指纹刻画。

（三）业务深耕的压力

如果不是一个无欲无求的安防平台，那满足其品牌诉求的最直接方式就是深耕业务能力，这是大多数安防厂家的必然选择。由于近年来业务越来越细分，越来越向基层倾斜，因此一个好的安防平台必定是贴近实战、接近最终用户的平台。这就要求开发者能够理解和沉淀业务，能够梳理好业务与技术的关系，同时能够利用架构、技术、生态、开源软件的赋能实现安防软件的价值，解决好投入与产出的关系。

　　三、深挖洞、广积粮、高筑墙，未来发展价值主张

今后安防平台会有怎样的发展和表现？我们试从以下几个方面来展望。当然，这是期望，是目标，也是价值观。但无论是什么，人们对于安全的诉求才是安防平台发展的最终方向。

（一）异构计算平台

安防平台对于异构计算带来的好处是心知肚明的。目前市面上也有了以异构计算为技术基础的安防平台，这方面最主要的应用可能还是AI以及视频编解码的加速。

不过，异构计算是个很广阔的领域，不仅仅是把向量计算offload到GPU上这么简单。可以说异构计算也是个大生态，围绕这个生态，不单是向量算力的提升，标量计算、矩阵计算、甚至网络IO、存储IO都可以加速和提升，我们仅举两例：

Intel近期发布的OneAPI接口框架，有效地整合了Intel自身的CPU、GPU、FPGA和其他加速芯片，并借助DPC++（不是那个用于中断处理的Deferred Procedure Call，而是Data Parallel C++语言）使原本OpenCL异常复杂的编程框架趋于简化。

Intel发布的DPDK和SPDK框架就是基于Intel CPU的网络IO和存储IO加速框架。虽然二者主要是应用于SDN分层体系中的数据转发面，但是转发面也是基于X86/X64架构的，也可以移植到流媒体转发服务和存储服务中来。当然二者之上的生态还是要满足的，这个需要补足的差距就是从这两个IO框架到socket编程接口之间的软件栈，或者叫协议栈，例如阿里的AliStack和AliSocket，都是用于补齐操作系统IO模型的组件。

可以想象，今后基于国产自主可控原则的异构计算体系，在硬件和软件上都会有所突破，并为安防平台的提升加力。

（二）传输方式更有针对性

无论何时，网络之于安防软件就像环境之于人类，一个不能处理好与网络之间关系的平台就不是一个好产品。过去，安防体系大多是点线的建设，安防系统大多是封闭的，在这种系统中面对的网络大多是局域网，基于此的各层协议基本是以TCP和UDP为主的应用层协议，且二者使用默认的协议栈就可以做到有效的拥塞控制。就算是遇到安全接入平台或者网闸，只要平台“乖乖听话，不越权，不瞎看”，穿透也不是什么大问题。

但是随着大规模联网诉求的普及，我们面对的网络不仅仅是简单的局域网环境了，广域网、跨国链路、NAT、CDN等复杂环境接踵而至，这是一种面和体的建设。特别是互联网的“长肥”特性，使我们使用传统的传输层协议和默认协议栈显得有些不合时宜。

国外基于长肥环境已经先行提出了若干拥塞控制算法和适用于视频的传输层/应用层协议。例如Google提出的基于实时探测增益调节，能够改善TCP在长肥网络中传输性能的BBR算法；基于C/S握手机制的UDP改进协议UDT；适用于数据加密的QUIC协议；适用于多流传输的SCTP协议，以及适用于流媒体传输的SRT等协议都是不错的选择，都可以纳入我们的协议栈工具箱。

　　图2 基于实时增益调节的BBR算法

（三）基于可信计算技术的数据安全

可信计算是以密码为基础的用于身份识别、状态度量、保密存储的技术，可以在计算的同时予以实时防护，其主要的技术手段是度量和验证，其根本的目的是识别“自我”和“非我”，借用了生物学中的免疫原理进行计算机的安全防护。

在数字版权保护（DRM）、系统/设备安全启动、软件实时防护方面，可信计算技术大有作为。例如基于可信计算的设备启动技术，就是在设备启动的初始阶段利用BIOS中的可信代码作为核心信任根（CRTM），并以此为基础进行完整性度量：从BIOS度量到MBR，再到OSLoader，直至操作系统镜像本身。利用这种方式可以有效地识别启动过程中的“非我”代码模块，屏蔽Rootkit/Bootkit植入带来的安全威胁。在整个过程中，可信密码模块承担了度量、存储与校验的工作。

　　图3 基于可信计算的平台/设备启动技术

目前，国内可信计算的研究已经进入到了3.0时代，其主要的技术特征包括动态度量和实时感知；终端、服务器和存储系统的整体体系可信；公钥私钥双密码主动免疫等。可以预见，在安防平台的终端、服务器等关键部件上安装可信计算芯片组件，会对提升整体安全性带来相当大的好处。更何况，在这一领域我们的自主可控成绩斐然。

（四）国产化与自主可控

这是我们面临的一个大问题，但同时也是一个大方向、大目标。从技术上说，自主可控我们要补的功课还有很多。在计算机领域，越是底层的东西我们欠缺的越多。如果说在标量算力方面基于ARM的国内一众厂商的CPU还能一搏，那么向量算力我们则基本为零。特别是用于其他加速计算的协处理器，怎样与现有架构的处理器深度融合？软件生态怎样构筑？这些问题同样亟待攻克。

而在操作系统方面，虽然国内厂商也大多基于开源Linux开发出了众多操作系统，但在生态、稳定性和性能方面要走的路还有很长。特别是由于Wintel联盟的事实存在，微软的系统在IO加速、向量计算加速、易用性、安全性等方面的确有不可比拟的优势。

　　图4 国产操作系统汇总

不过，近期国内也出台了一些举措以应对上述种种问题，例如中电集团构筑的PK体系正在全力攻关和推广，其内涵就是飞腾（Phytium）CPU和麒麟（Kylin）操作系统。当然飞腾CPU是ARM架构的，必须要解决好ARM架构与一众协处理器之间的适配关系，也要解决好麒麟系统与应用软件之间的匹配问题，前路艰难责任重大。

但是，不畏艰险、迎难而上历来是中国科工人的精神品质，这种品质也深深影响着中国安防行业不断尝试新的突破。

　　总结

中国安防行业发展至今，安防平台已经达到了一个新的高度，无论国内还是国外都有众多成功案例。今后，各个安防平台厂家还要继续努力，深挖洞（深入挖掘和理解一线客户需求）、广积粮（海纳百川，汇聚英才）、高筑墙（构筑自己的技术壁垒），这也可以作为我们今后一段时间的价值观。而所有安防平台的命运底色，在他们所坚持的价值观里已经写好了。