SSE-CMM评级体系和信息安全等级保护评级体系的异同

内容来自：从SSE-CMM模型的观点看信息安全等级保护

等级保护系列标准与SSE-CMM模型的对比分析
从信息安全等级保护制度和SSE-CMM模型的内容来看，两者既有相同之处又有不同的地方，下面具体分析两者的差异性和共性。
2.1 两者的差异性
2.1.1 两者的出发点不同
信息安全等级保护制度是以国家安全、社会秩序和公共利益为出发点，从宏观上指导全国的信息安全工作的一个基本制度，目的是构建国家整体的信息安全保障体系。SSE-CMM模型是在系统安全工程领域中具体应用而派生出来的一个变种，它可以用来为安全工程的结果提供有效的评估手段或者为工程过程提供基本的安全需求信息。
2.1.2 两者面对的对象不同
信息安全等级保护面对的对象是信息系统，对于一个完整的信息系统来说：包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。
SSE-CMM描述的对象不是具体的过程或结果，而是工业中的一般实施。这个模型是安全工程实施的标准，它主要涵盖以下内容：
1）SSE-CMM强调的是分布于整个安全工程生命周期中各个环节的安全工程活动。包括概念定义、需求分析、设计、开发、集成、安装、运行、维护及更新。
2）SSE-CMM应用于安全产品开发者、安全系统开发者及集成者，还包括提供安全服务与安全工程的组织。
3）SSE-CMM适用于各种类型、规模的安全工程组织，如：商业、政府及学术界。尽管SSE-CMM模型是一个用以改善和评估安全工程能力的独特的模型，但这并不意味着安全工程将游离于其它工程领域之外进行实施。SSE-CMM模型强调的一种集成，它认为安全性问题存在于各种工程领域之中，同时也包含在模型的各个组件之中。而这一点，正好可以和信息安全等级保护联系在一起。
2.1.3 两者的侧重点不同
信息安全等级保护侧重于通过已知的系统情况找出可能存在的风险和管理漏洞，使系统中的信息安全规范化、系统化[4]。SSE-CMM模型侧重于细化过程来规避掉可能存在的系统不安全因素。它将一个工程组织从一个特定的，组织不善、效率不高的状态，进化成高度结构化且高效的状态。使用这样一种模型是一个组织将他们的活动制约于统计过程控制下的手段，其目的在于提高他们的过程能力。
2.2 两者的共性
2.2.1 两者最终的目标相同
信息系统没有百分之百的安全，无论我们是进行信息安全等级保护还是SSE-CMM都是为了能尽可能的减少风险产生的几率，增加系统的抵御能力，让系统更安全。
2.2.2 两者都对信息的安全进行等级划分
信息安全等级保护制度是通过信息系统遭到破坏后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等因素确定，划分出5个等级，对不同等级明确了分级响应、处置的制度。SSE-CMM模型包含了可应用于所有过程的通用实施。这些通用实施可在过程评定中用于确定任何过程的能力。通用实施依据公共特征和能力级别进行6个分组来进行区别。
3 等级保护与SSE-CMM模型实施中面临的问题
虽然这两个体系已经经过了一段时间的发展和应用，但在实际操作中都还是会存在着一些困难，现列举一些问题如下。
3.1 等级保护在实施过程中的问题
等级保护基本要求针对不同等级信息系统的安全要求已经很细化，但是对于一些特殊信息系统来说，其要求的指标却无法完全满足其特定的安全要求。例如对于证券行业的三级系统来说，基本要求有一项要求是“采用两种或两种以上组合的身份鉴别技术对管理用户进行身份鉴别”，其控制点分布在网络安全、主机安全、应用安全等三个层面。但普遍的证券公司都认为，证券信息系统实时性要求很高，几秒钟的时间可能都会造成账面上巨大的利润或损失，采用多种身份认证的要求不太现实。
3.2 SSE-CMM模型所面临的问题
SSE-CMM作为一个安全模型来说，它将每一个过程要求得很规范，这也使其过于看重流程而过于机械。SSE-CMM需要一个非常稳定的环境，它在按照流程实施过程中有指导可循，但对于突发类问题并无相应解决方案。SSE-CMM涉及所有的模糊度却禁不住小环节的焦点处理，这使得它能应付信息安全加护准则到过程，但在更高阶段的成功发展和具有双重标准的问题上没有得到很好的解决。它可能更适合一些已经成熟系统却对新出现的系统显得力不从心。