简讯：日本总务省最新报告：Open RAN与传统RAN的安全风险基本相当

由美国、日本、澳大利亚和印度政府赞助的一份最新报告称，在安全性方面，Open RAN与传统RAN并没有太大差别。

“与传统RAN相比，使用Open RAN并没有从根本上改变电信的安全风险格局。报告中分析的大多数安全威胁同时对传统RAN和Open RAN部署都有影响，只有4%的威胁是Open RAN独有的。”这份报告的摘要写到。“缓解措施使得确保传统RAN和Open RAN部署具有同等安全级别成为可能。”

【资料图】

鉴于全球无线行业正在就Open RAN的技术能力进行探讨，这一结论值得注意。Light Reading称，该报告进一步支持了将Open RAN技术定位西方抑制包括华为和中兴通讯在内的中国5G设备供应商崛起的政治行动。

这份长达165页的报告由日本总务省委托并提供资助，与包括一家移动网络运营商（未具名）和多家网络安全公司在内的行业伙伴合作编写，并向“四方关键和新兴技术工作组”（Quad Critical and Emerging Technology Working Group）进行报告。据悉，该工作组成立于2021年，是澳大利亚、印度、日本和美国领导人首次举行的“四方峰会”的一部分。

在美国，这份报告是由NTIA发布的，该机构负责就电信和信息政策问题向白宫提供建议。

“该报告表明，Open RAN提供了重要的网络安全优势，有时归因于Open RAN的风险在传统RAN部署中也很常见，并且这些风险可以通过报告中提出的建议来缓解和管理。”NTIA在关于该报告的通知中解释说。

在摘要中，报告作者指出，在安全性方面，Open RAN与传统的、经典RAN大致相同。“与传统RAN相比，Open RAN预计会略微增加网络的‘攻击面’。”他们写到。

在完整报告中则给出了一个更精确的观点：“在所分析的安全威胁中，总共有4%被认为是Open RAN独有的。”

在解释如何得出相关结论时，报告作者表示他们评估了3GPP和O-RAN联盟的标准规范。他们还提供了用于评估安全威胁风险的模型参数。

“O-RAN Threat Modeling and Remediation Analysis是本文档中描述的威胁建模和风险分析的基础。”报告写道。“报告侧重于分析O-RAN安全威胁建模及基于ISO 27005标准的补救措施，ISO 27005标准为风险管理提供了指导。”

报告作者还提到：“报告还确定了相关的安全利益相关者，包括O-RAN组件和O-RAN系统内需要保护的接口在内的关键资产，以及考虑到可能表现出威胁的威胁源对O-RAN组件的威胁以及可能被利用的潜在漏洞。”

长久以来，行业关于Open RAN的技术能力及其安全性风险的争论不曾停歇。撇开技术能力和实际成本节约作用究竟如何，安全话题显然在国际地缘政治舞台上更为重要。美国不断向其盟友国施压，称华为和中兴通讯等中国通信设备供应商构成了国家网络安全风险。而Open RAN在一定程度上也被视为西方政府希望打造取代中国供应商的解决方案的一种做法。

关键词：