对于控制室、NOC 或 SOC,合规不是采购末尾打的勾。它是决定哪些厂商甚至可以投标的约束。未通过监管审查的视频墙不是买方可以安装的视频墙,无论价格或功能如何。本文按司法管辖区映射实际塑造控制室视频墙采购的监管框架 — 以及每一项如何约束架构。
为什么合规引领采购
会议室显示器几乎没有合规面。控制室视频墙有大量合规面,因为它承载监管机构分类与保护的运营数据:实时摄像头馈送 (个人数据)、关键基础设施遥测、安全事件、揭示客户影响的网络状态。墙体不是被动屏幕 — 它是信息处理系统,监管机构如此对待。
实际后果:先将合规要求写入招标,然后根据它们评估厂商。按功能排名厂商、事后发现合规差距的 bake-off 浪费每个人的时间。
中国 — 信创目录与等保 2.0、数据安全法、PIPL
- 信创 (IT Application Innovation) 目录。政府运营商与许多政府关联买方需从信创目录采购国产软件。非中国厂商按定义被排除在这些招标之外 — 国际厂商 (Userful、Hiperwall、Datapath、Craft Wall) 在严格信创采购中无法直接参赛。中国本土厂商 (海康威视 iVMS、大华 DSS、华为 IdeaHub、利亚德视频墙、视联动力) 是符合条件的池。
- 网络安全等级保护 2.0 (等保 2.0)。关键基础设施分级 1-5。视频墙作为安防 / 运营系统的一部分,通常需要二级或三级等保。涉及全本地处理、最小攻击面、审计追踪、与 国密 (国家密码) 算法兼容。
- 数据安全法与个人信息保护法 (PIPL)。实时摄像头馈送是 PIPL 第 4 条下的个人信息。摄像头数据必须在国内服务器处理,跨境传输需要中国互联网信息办公室 (CAC) 安全评估。云依赖的视频墙在大多数受监管场景下失败 PIPL。
- GB/T 与 GA/T 标准。公安行业的 GA/T 系列、信息技术的 GB/T 系列、视频监控的 GB 50395 与 GA/T 1400 (视频图像信息联网) 对设计要求适用。
俄罗斯 — Минцифры 注册与 FZ-187
两个框架主导俄罗斯控制室采购:
- Минцифры 俄罗斯软件注册。国营运营商与许多国家关联买方需要从国内软件注册采购。非俄罗斯厂商按定义被排除 — 这就是为什么 Polywall 与其他注册在册的 RU 厂商赢得西方堆栈无法进入的国家采购。
- FZ-187 — 关键信息基础设施。能源、交通、金融、医疗与政府运营被指定为关键基础设施。它们的系统必须将运营层保留在国内,对于较高重要性类别,通常需要 air-gap。云依赖的视频墙对这些买方失败 FZ-187 — 见 混合云架构 关于本地要求的文章。
FZ-152 (个人数据本地化) 也适用于摄像头馈送捕获可识别个人的任何地方 — 数据必须在俄罗斯境内的服务器上处理。
欧盟 — GDPR、BSI C5、ANSSI
- GDPR。包含可识别人员的实时摄像头馈送在第 4(1) 条下是个人数据。墙体处理该数据;通过欧盟之外的控制平面或受美国 CLOUD Act 约束的提供商处理,需要大多数设施无法建立的保障。干净答案是无第三国数据路径的本地处理。
- BSI C5 (德国)。德国联邦云计算合规标准目录为公共部门采购设定云安全标杆。通用 SaaS 控制平面很少满足,这将德国政府控制室推向本地或主权云设计。
- ANSSI (法国)。法国国家网络安全机构为重要运营商 (OIV) 与基本服务 (OSE) 设定要求。法国关键基础设施控制室根据 ANSSI 指南评估视频墙系统,该指南偏好本地、可审计、最小攻击面设计。
美国 — FedRAMP 与 DoD 影响等级
处理受控未分类信息或机密数据的美国联邦设施无法在没有适当级别 FedRAMP 授权的情况下通过商业 SaaS 控制平面路由视频墙 — 对于国防设施,DoD 影响等级 (IL4、IL5、IL6) 进一步提高门槛。这些部署的默认期望是带 NIPRNet 或 air-gap 隔离的本地处理。采购团队很少获得云授权,因此云依赖架构早早被排除。
ISO 11064 — 全球通用的控制室人体工程学
ISO 11064 不是安全法规 — 它是控制中心人体工程学设计的国际标准,跨司法管辖区适用。它涵盖控制室物理布局、视频墙视线、观看距离、显示器高度与操作员工作站布置。
ISO 11064 很少排除厂商,但它塑造墙体规范:标准从房间布局推导的观看距离驱动显示器像素间距 (见 MicroLED 文章 的间距与距离计算),视线要求驱动墙体尺寸与安装。引用 ISO 11064 的采购标志着墙体设计必须根据操作员人体工程学证明合理,而非从目录中挑选。
合规如何塑造架构
剥离司法管辖区,监管框架在一小组架构要求上汇合:
- 本地处理。几乎每个严肃框架都要求视频与运营数据保留在本地。云依赖架构被排除在受监管部署之外。
- Air-gap 能力。较高重要性类别 (FZ-187 关键基础设施、中国等保 三级、DoD IL5+、ANSSI OIV) 通常要求墙体在完全没有外出连接的情况下运行。
- 可审计性。谁更改了墙体、何时、显示了什么 — 审计追踪是反复出现的要求,因为事后评审依赖于它。
- 最小攻击面。更少的外部依赖、更少的开放端口、标准可审计组件 — 安全审查姿态偏好简单胜过聪明。
- 强制要求时的国内厂商采购。Минцифры 注册要求与中国信创目录要求是二元的 — 它们在任何技术评估之前决定厂商池。
Craft Wall 适合何处 — 诚实说
Craft Wall 的架构与常见要求一致:本地优先、air-gap 能力、本地服务的浏览器控制、标准可审计 Linux 组件、无强制云依赖。对于约束是「保持一切在建筑物内并使之可审计」的部署,该架构是干净匹配。
诚实限制:Craft Wall 不在中国信创目录中,因此严格信创采购应评估海康威视 iVMS、大华 DSS 或华为 IdeaHub。Craft Wall 不在俄罗斯 Минцифры 注册中 (申请准备中),因此受注册约束的俄罗斯国家采购应今天评估 Polywall 或其他注册在册厂商。Craft Wall 目前不持有 FedRAMP、BSI C5 或正式 ISO 11064 认证;要求特定认证作为招标条款的部署应直接确认厂商认证状态,而非假设架构对齐等于认证。架构合规形与厂商持有特定证书是两件事,谨慎采购检查两者。
结语
合规是控制室视频墙采购中的第一个过滤器,而非最后。映射适用于部署的监管框架,将它们作为硬性要求写入招标,并在查看功能或价格之前根据它们评估厂商。架构要求汇合 — 本地、air-gap 能力、可审计、最小攻击面 — 无法满足这些的厂商不是候选人,无论演示看起来如何。
延伸阅读: 混合云视频墙 — 本地 / 云划分; NOC 参考架构 — 合规本地设计;以及 八平台对比 — 每家厂商在合规轴上的位置。