1，本课程是为考试和具有一个基础的学员设计的。

课程时长：共：300分钟，也就是5个小时；分为：10分钟一个，30个小内容；关于教材：1,因为是速成的还没有设计教材，all in one 是一本很好的参考书籍，单不是速成书籍，因为太多了，还有就是有点过时。2,我的课件+公众账号:

CISSP考什么的问题，可以换个问法，ISC2组织希望通过自己认证的人具备哪些知识和能力？所以CISSP考试内容就可以从大的方面分为两块：1，能力？对现象分析，对问题的提炼，问题解决方案的评定，优先级的安排。考察的是应用。A:（归纳法的方式）现象——>安全的分析思路——>解决方...

1，漏洞只是一个安全现象，用CISSP专业的术语，怎么描述，这是本课的要回答的问题？

1，我们生活中所说的漏洞，指的是具体的漏洞，如SQL注入，缓冲区溢出，但是具体漏洞如何评估呢？本课回答。

资产是工作保护的核心，也是风险评估的第一步，风险评估又是安全工作的第一步，所以对于资产的概念需要熟练掌握。

Risk is the potential of gaining or losing something of value。风险也是机会。价值有可能增加或者降低。 Values (such as physical health, social status, emotional well-being or financial wealth) can be gained or lost when taking risk...

定性分析：低危中危高危定量分析：Asset Value ——>Exposure Factor——>Single loss expectancy ——> The annual loss expectancy

风险计算的结果 vs 降低风险需要的投入 vs 造成风险本身的价值1，风险值远小于产生的价值：接受风险；2，用于降低风险值的投入小于产生的价值：降低风险；3，自身无法有效的控制风险，并且风险一旦产生就是毁灭性的：转移风险；4，风险值远高于产生的价值：规避风险。

1，（釜底抽薪）产生风险的因素。降低风险的手段：1，降低价值：规避风险；2，减少漏洞和被暴露的情况，自己提前发现漏洞修复；3，隔离威胁，防火墙。4，消除威胁主体，起诉**者。

不是管理专业的技术人员，最难抓住这块内容的重点

安全工作需要大量的评估和排版，那参考什么指标呢。

安全工作的空间和时间都有很大的跨度，我们如何解决这个问题。

产品： 策略——>架构——>设计服务：人——>策略——>架构——>设计

认证（certification）是出于认可的目的而对安全组件及其一致性进行全面的安全评估。认可（accreditation）是管理层对系统整体安全和功能的充分性的正式认定。认证信息提交给管理层或者负责部门，有管理层来提问、复查报告和裁定结果。

美国和欧洲的安全准则

三方关系：computer system users：specify their security functional and assurance requirements (SFRs and SARs respectively) through the use of Protection Profiles (PPs)vendors：can then implement and/or make claims about the security attributes of their productstesting laboratories：can evaluate the products to determine if they actually meet the claims.

1，密码学本身很重要，但是考试多。2，感兴趣的看我的《现代密码学》

ISO27001是ISMS的公用标准

数据清除的方法和考点

1，安全模型是怎么来的；2，安全模型使用的难点在哪里

状态机和信息流模型

1，如何分解复杂系统；2，基础的安全架构概念如何。

最基础的机密性和完整性

如何检查和设计安全模型

完整性实现的模型

1，控制的分类；2，信息系统控制的对象；

IAAAA