华为摄像机ONVIF别乱开，独立账号要建；三步防嗅探！

为了更好地保障设备访问安全，建议在启用ONVIF前先做风险评估并记录使用需求。由于ONVIF协议存在密码嗅探的安全风险，因此设备默认不开启ONVIF协议，且不再支持admin用户通过ONVIF协议访问设备。如您需要使用ONVIF协议，请单独创建ONVIF用户，并由管理员（admin）妥善保管用户信息。为减少外网暴露面，建议仅在内部受控网络或通过VPN访问时开启。

在实际运维场景中，经常需要结合合规要求对接入方式进行审计。出于安全考虑，新版本的摄像机不再使用登录web页面的用户名和密码作为ONVIF协议的鉴权信息，需要单独为ONVIF协议创建用户和密码。这样做可以将管理账户与协议账户分离，从而降低被嗅探或滥用的风险，也便于权限分级与审计。

在企业部署时，建议在上线前编写开启流程并培训运维人员。华为摄像机默认的ONVIF功能是关闭的，需要先进入WEB端手动开启ONVIF功能。开启后，默认是没有ONVIF用户的，需要手动添加一个ONVIF用户，并设置密码，然后用这个ONVIF的用户名和密码去连接。为避免配置遗漏，最好在上线清单中增加“ONVIF已启用/已创建用户”的核查项。

如果多人运维同一设备，应明确权限分配与变更流程。登录设备Web页面，选择“配置 > 系统配置 > 用户管理 > ONVIF用户”，单击“添加”，添加ONVIF用户。只有管理员（admin）用户有权限添加、修改和删除ONVIF用户。切记不要在公开环境下使用弱口令或重复使用其他系统的密码。

对于大规模部署，可以事先规划账号命名规则与到期策略以便统一管理。在“用户管理”界面，可对ONVIF用户进行管理，包括添加、修改和删除用户。最多可以添加32个ONVIF用户。admin用户无法修改自身的“用户类型”，也无法被删除。建议记录每个ONVIF账号的用途与负责人，以便出现异常时快速溯源。

遇到权限变更或账号泄露时，应立即执行更新流程以减少风险。在配置界面中，除了添加用户，还可以对已有的ONVIF用户进行编辑和删除。例如，当某个ONVIF用户的密码泄露或需要变更时，管理员可以点击对应用户旁的修改按钮，输入新密码即可完成更新，无需删除重建。对于高风险场景，还可以定期强制更换密码并启用访问记录审计，以提高安全可控性。

在分配账号时考虑最小权限原则，既满足业务又减少攻击面。添加ONVIF用户时，需要设置用户名、密码和用户类型。用户类型分为：管理员、操作员和普通用户。不同类型的用户权限不同，管理员拥有所有权限，包括对媒体流的访问和设备参数的配置；操作员可以访问媒体流和部分配置；普通用户通常只能访问实时视频流。建议将管理类操作仅授予可信人员，并记录变更历史以供审计。

在与第三方设备互联时，排查步骤要覆盖ONVIF账号设置。很多用户在使用华为摄像机接入海康录像机时，经常会遇到“用户名密码错误”或“未知错误”的提示，这通常是因为没有正确设置ONVIF用户导致的。华为新版本的IPC不再使用admin账户进行ONVIF登录，必须单独创建一个ONVIF类型的用户。遇到对接问题时，可以先在本地使用ONVIF工具验证新建账户的连通性。

当忘记或疑似泄露时应立即通过admin账号进行处理以恢复访问控制。如果您忘记了为ONVIF设置的密码，是无法直接找回的。您需要使用设备的admin管理员账户登录Web界面，进入“用户管理”中的“ONVIF用户”列表，找到对应的ONVIF用户，然后直接修改其密码或删除后重建。为防止频繁忘记密码，建议使用密码管理工具并定期备份账号信息，但不要将备份存放在公开或不受信任的位置。

了解历史行为有助于判断是否需要回滚或补救。部分早期型号的华为网络摄像机，其ONVIF的用户名和密码与设备的登录用户名和密码（即admin账户）是相同的。但随着固件的升级和对安全性的重视，后续版本都强制要求为ONVIF协议创建独立的用户账户体系，以提高设备的安全性。建议在升级固件后检查账号策略是否变化，并根据厂商发布的安全说明调整配置，以免遗留安全隐患。