在欧盟委员会和ENISA(欧洲网络及信息安全局)的支持下,欧盟成员国发布了一份关于Open RAN网络安全的报告。
报告发现,在满足一定条件的情况下,Open RAN可以带来潜在的安全机会。它指出,Open RAN可以让同一地理区域内网络中的供应商更加多元化,这可能有助于实现欧盟“5G工具箱”中的建议,即每个运营商都应该有一个适当的多供应商战略,以避免或限制对单一供应商的重大依赖性。
然而,根据欧盟成员国的说法,Open RAN概念仍然不够成熟,网络安全仍然是一个重大挑战。报告指出,Open RAN概念的风险包括更大的攻击面和更多恶意行为者的入口点,网络错误配置的风险增加,以及由于资源共享而对其他网络功能的潜在影响。该报告还强调,技术规范(如O-RAN联盟开发制定的规范)从设计上来说还不够成熟和安全。
Europe Fit for the Digital Age执行副总裁Margrethe Vestager表示:“我们的共同优先任务和责任是确保5G网络在欧洲及时部署,同时确保它们的安全性。Open RAN架构在市场中创造了新的机会,但这份报告显示,它们也提出了重要的安全挑战,特别是在短期内。对于所有的参与者来说,投入足够的时间和精力来缓解这些挑战是很重要的,这样才能实现Open RAN的承诺。”
欧盟内部市场专员Thierry Breton补充称:“随着5G网络在整个欧盟范围的推出,以及我们的经济体对数字基础设施依赖性的日益提升,确保通信网络的高水平安全性比以往任何时候都更加重要。这就是我们在5G网络安全工具箱中所做的。这也是我们现在与成员国一起通过这份新报告在Open RAN上所做的事情。”
为了减少这些风险并利用Open RAN的潜在机会,该报告建议采取一些行动,特别是:
·使用监管权力审查移动运营商的大规模Open RAN部署计划,并在必要时,限制、禁止和/或对Open RAN网络设备的供应、大规模部署和运营施加具体要求或条件;
·加强认证、授权等关键技术控制,使监控设计适应各部件受到监控的模块化环境;
·评估Open RAN提供商、与Open RAN相关的外部服务提供商、云服务/基础设施提供商和系统集成商的风险状况,并将对MSP(托管服务提供商)的控制和限制扩展到这些提供商;
·解决技术规范制定过程中的缺陷:该过程应满足世界贸易组织(WTO)/技术性贸易壁垒(TBT)制定国际标准的基本原则,并应解决安全方面的缺陷;
·尽早将Open RAN组件纳入目前正在开发中的未来5G网络安全认证计划中。
该报告建议采取谨慎的方式转向Open RAN这一新架构,并指出任何从现有可靠技术的过渡和与之共存的做法,都应该允许留出足够的时间和资源来提前评估风险,实施适当的缓解措施,并在出现故障或事故时明确界定责任。
2020年1月,欧盟委员会宣布了一个由欧盟成员国达成一致的缓解措施联合“工具箱”,以应对与推出5G技术相关的安全风险。通过该工具箱,欧盟成员国承诺对已发现的风险进行客观评估和采取适当的缓解措施的基础上,共同向前迈进。