Profile S 弃用问答

Profile S 的支持何时终止？
ONVIF Profile S 的支持将于 2027 年 3 月 31 日终止。2027 年 3 月 31 日之后，制造商将无法提交新产品或具有新固件/软件版本的旧产品以符合 Profile S 标准。

为什么要弃用 Profile S？
Profile S 强制要求使用用户名令牌身份验证。由于网络安全威胁环境不断演变，这种身份验证方式已不再符合当前的网络安全建议。

即使 Profile S 被弃用，终端用户还能继续使用吗？
可以，您仍然可以使用 Profile S 在符合 Profile S 的设备和客户端之间进行基本视频流传输。但出于安全原因，ONVIF 强烈建议客户停止使用用户名令牌身份验证方法，而是选择更安全的身份验证机制，例如 Profile T 支持的摘要式身份验证，或通过 TLS（HTTPS 模式）进行身份验证。

继续使用用户名令牌认证会带来什么风险？
用户名令牌身份验证在当今已被认为过于薄弱，无法有效防止未经授权的设备访问。如果无法停止使用，终端用户应咨询其 IT 和网络安全团队，以寻找增强系统防护的措施。

作为终端用户，我的 Profile S 合规产品会怎样？
只要某一版本的软件或固件的设备或客户端已注册为符合 Profile S，它就会保持合规状态，直到制造商决定撤销合规声明为止。无论制造商是否撤销了合规声明，现有的 Profile S 合规产品仍可与其他 Profile S 符合性产品互操作。

Profile S 的集成是否会继续有效？
ONVIF 并不要求移除产品中的任何现有 ONVIF 实现，因此这将取决于各设备和客户端厂商的决定。如果 ONVIF 成员厂商选择在现有产品的新固件/软件版本中移除用户名令牌身份验证功能，那么这些产品将不再符合 Profile S，并且这可能会影响依赖该身份验证机制的系统的互操作性。这些决定由各 ONVIF 成员公司自行决定。

为什么不能更新 Profile S 以解决漏洞？
为了保证合规产品的长期互操作性（向后兼容性），ONVIF 配置文件政策不允许对配置文件的规范进行修改。强制执行新机制会破坏新旧合规产品之间的互操作性。

什么将取代 Profile S？
Profile T 将取代 Profile S，因为 Profile T 几乎包含了 Profile S 的全部功能。

Profile S 中哪些功能未被 Profile T 覆盖？
以下功能在 Profile S 中支持，但不在 Profile T 的覆盖范围内：

• 用户名令牌身份验证
• IP 地址过滤
• Motion JPEG (MJPEG) 和 MPEG4

上述功能仍可能由某些产品原生支持，但它们不属于 ONVIF Profile T 的范畴。

Profile T 还提供了哪些关键功能？为什么比 Profile S 更有优势？
Profile T 支持以下功能：

• 摘要身份验证，安全性优于用户名令牌身份验证
• H.264/H.265，更现代、更高效的视频编码
• 使用HTTPS进行媒体传输（如果原生支持），提供更安全的通信
• 图像配置，用于优化视频质量
• 移动侦测和篡改事件，实现自动检测和事件响应
• 音频输出流（如果原生支持），可通过扬声器进行音频响应
• 客户端强制使用PTZ控制，以确保对 PTZ 摄像机的支持
• 元数据流（设备为强制，客户端为可选），可传递元数据用于事件管理等其他用途

对比详见：https://www.onvif.org/wp-content/uploads/2022/04/onvif-profile-feature-overview.pdf

ONVIF 对基于 IP 的物理安全产品推荐哪些网络安全最佳实践？
ONVIF 建议遵循当地法规、行业最佳实践，并随时关注市场最新动态。ONVIF 概述了一套通用的、非详尽的网络安全最佳实践建议。这些建议不应被视为应对网络安全威胁的唯一指南。除此之外，ONVIF 支持 TLS（传输层安全协议），这是一种安全通信协议，使支持该功能的 ONVIF 设备能够通过网络与客户端进行通信，从而防止篡改和窃听。

ONVIF 还规定了 ONVIF 默认访问策略（参考《ONVIF 核心规范》第 5.9.2.4 节 Default Access Policy），该策略在许多系统中提供了可接受的安全级别。该策略规定，应根据不同用户角色（管理员、操作员、普通用户）设置不同的服务访问权限。

如有疑问，会员制造商请访问会员门户.