精华内容
下载资源
问答
  • 为改进政府监管方式、提高煤矿企业职业安全健康投入效率,根据企业职业安全健康投入动机建立主动投入模型和被动投入模型,进而分别建立企业职业安全健康投入理想边界模型和次优边界模型,前者是满足可接受风险条件下...
  • 针对电网企业在内网环境下应用系统访问出现安全问题,结合传统访问控制机制,提出了一种基于软件定义边界(Software Defined Perimeter,SDP)的用户多维度数据身份验证模型。首先分析了当前电网企业应用系统中访问...
  • 一种无边界企业网络安全模型研究,李俊佐,刘川意,企业网络安全模型需要保证企业网络的安全性与可用性。传统的企业网络安全模型往往根据企业的物理位置将企业网络区分为外部威胁网
  • 以制度经济学的交易成本分析法为基础,联系诸多企业边界的决定因素,结合长尾模型,探讨和分析"互联网+"企业边界的外在形式与内在规律,得出"扩张""收缩"与不断"模糊化"是当今"互联网+"企业边界变化的重要特征,为更好地...
  • 采用边界Logistic模型描述下游企业违约风险,建立了一个考虑下游企业违约风险,并能体现上游生产商风险厌恶程度的委托一代理模型,用来确定激励相容的商业信用期限决策。通过对下游企业优化条件的处理,最终将信用...
  • 网络边界

    千次阅读 2020-03-12 14:19:54
    网络边界(Network Border) 什么是网络边界  网络边界是指内部安全网络与外部非安全网络的分界线。 网络边界的  由于网络中的泄密、攻击、病毒等侵害行为主要是透过网络边界实现,网络边界实际上就是网络安全...

    网络边界(Network Border)

    网络边界是指内部安全网络与外部非安全网络的分界线。

      由于网络中的泄密、攻击、病毒等侵害行为主要是透过网络边界实现,网络边界实际上就是网络安全的第一道防线。网络攻击入侵者通过互联网与内网的边界进入内部网络,篡改存储的数据,实施破坏,或者通过某种技术手段降低网络性能,造成网络的瘫痪。

      把不同安全级别的网络相连接,就产生了网络边界。防止来自网络外界的入侵就要在网络边界上建立可靠的安全防御措施。非安全网络互联带来的安全问题与网络内部的安全问题是截然不同的,主要的原因是攻击者不可控,攻击是不可溯源的,也没有办法去“封杀”,一般来说网络边界上的安全问题主要有下面几个方面:(信息泄密、入侵者的攻击、网络病毒、木马入侵)

    1、信息泄密

      网络上的资源是可以共享的,但没有授权的人得到了他不该得到的资源,信息就泄露了。一般信息泄密有两种方式:攻击者(非授权人员)进入了网络,获取了信息,这是从网络内部的泄密;合法使用者在进行正常业务往来时,信息被外人获得,这是从网络外部的泄密。

    2、入侵者的攻击

      互联网是世界级的大众网络,网络上有各种势力与团体。入侵就是有人通过互联网进入你的网络(或其他渠道),篡改渠道,或实施破坏行为,造成你网络业务的瘫痪,这种攻击是主动的、有目的、甚至是有组织的行为。

    3、网络病毒

      与非安全网络的业务互联,难免在通讯中带来病毒,一旦在你的网络中发作,业务将受到巨大冲击,病毒的传播与发作一般有不确定的随机特性。这是“无对手”、“无意识”的攻击行为。

    4、木马入侵

      木马的发展是一种新型的攻击行为,他在传播时像病毒一样自由扩散,没有主动的迹象,但进入你的网络后,便主动与他的“主子”联络,从而让主子来控制你的机器,既可以盗用你的网络信息,也可以利用你的系统资源为他工作,比较典型的就是僵尸网络。 来自网络外部的安全问题,重点是防护与监控。来自网络内部的安全,人员是可控的,可以通过认证、授权审计的方式追踪用户的行为轨迹,也就是我们说的行为审计合轨性审计。由于有这些安全隐患的存在,在网络边界上,最容易受到的攻击方式有下面几种:(黑客入侵、病毒入侵、网络攻击(如DOS、DDoS))

    1、黑客入侵

      入侵的过程是隐秘的,造成的后果是窃取数据与系统破坏。木马的入侵也属于黑客的一种,只是入侵的方式采用的病毒传播,达到的效果与黑客一样。

    2、病毒入侵

      病毒就是网络的蛀虫与垃圾,大量的自我繁殖,侵占系统与网络资源,导致系统性能下降。病毒对网关没有影响,就象“走私”团伙,一旦进入网络内部,便成为可怕的“瘟疫”,病毒的入侵方式就象“水”的渗透一样,看似漫无目的,实则无孔不入。

    3、网络攻击

      网络攻击是针对网络边界设备或系统服务器的,主要的目的是中断网络与外界的连接,比如DOS(denial of service 拒绝服务)攻击,虽然不破坏网络内部的数据,但阻塞了应用的宽带,可以说是一种公开的攻击,攻击的目的一般是造成你服务的中断

    保护网络边界的方法

      保护网络边界主要有如下几种传统的设备:(防火墙、VPN网关、防DoS攻击网关、入侵防御网关、防病毒网关、反垃圾邮件网关、网闸 )

      1.防火墙

      网络早期是通过网段进行隔离的,不同网段之间的通信通过路由器连接,要限制某些网段之间不互通,或有条件的互通,就出现了访问控制技术,也就出现了防火墙,防火墙是早期不同网络互联时的安全网关。

      防火墙的安全设计原理来自于包过滤与应用代理技术(包过滤防火墙:packet-filter;代理防火墙:proxy firewall),两边是连接不同网络的接口,中间是访问控制列表ACL(access control list)数据流要经过ACL的过滤才能通过。ACL有些像海关的身份证检查,检查的是你是哪个国家的人,但你是间谍还是游客就无法区分了,因为ACL控制的是网络OSI参考模型的3~4层,对于应用层是无法识别的。后来的防火墙增加了NAT/PAT技术(network address transformation网络地址转换/PAT:port NAT端口NAT),可以隐藏内网设备的IP地址,给内部网络蒙上面纱,成为外部"看不到"的灰盒子,给入侵增加了一定的难度。但是木马技术可以让内网的机器主动与外界建立联系,从而"穿透"了NAT的"防护",很多P2P应用也是采用这种方式"攻破"防火墙的。

      防火墙的作用就是建起了网络的"城门",把住了进入网络的必经通道,所以在网络的边界安全设计中,防火墙成为不可或缺的一部分。

      防火墙的缺点是:不能对应用层识别,面对隐藏在应用中的病毒、木马是毫无办法的,所以作为安全级别差异较大的网络互联,防火墙的安全性就远远不够了。

      2.VPN网关(VPN:virtual private network 虚拟专用网络;网关:gateway,属于网络层)

      外部用户访问内部主机或服务器的时候,为了保证用户身份的合法、确保网络的安全,一般在网络边界部署VPN网关,主要作用就是利用公用网络(主要是互联网)把多个网络节点或私有网络连接起来。

      针对不同的用户要求,VPN有三种解决方案:远程访问虚拟网(AccessVPN)、企业内部虚拟网(IntranetVPN)和企业扩展虚拟网(ExtranetVPN),这三种类型的VPN分别与传统的远程访问网络、企业内部的Intranet以及企业网和相关合作伙伴的企业网所构成的Extranet(外部扩展)相对应。

      典型的VPN网关产品集成了包过滤防火墙和应用代理防火墙的功能。企业级VPN产品是从防火墙产品发展而来的,防火墙的功能特性已经成为它的基本功能集的一部分。如果VPN和防火墙分别是独立的产品,则VPN与防火墙的协同工作会遇到很多难以解决的问题;有可能不同厂家的防火墙和VPN不能协同工作,防火墙的安全策略无法制定(这是由于VPN把IP数据包加密封装的缘故)或者带来性能的损失,如防火墙无法使用NAT功能等。而如果采用功能整合的产品,则上述问题就不存在或能很容易解决。

      3.防DoS攻击网关

      拒绝服务攻击(DoS,DenialofService)是一种对网络上的计算机进行攻击的一种方式。DoS的攻击方式有很多种,最基本的DoS攻击就是利用合理的服务请求来占用过多的服务资源,从而使合法用户无法得到服务的响应。常见的拒绝服务攻击有SYNFlood、空连接攻击、UDPFlood、ICMP Flood等。(UDPFlood为流量型DOS攻击、ICMPFlood为DDoS攻击、SYNFlood为DOS和DDoS攻击)。

      SYN Cookie是应用非常广泛的一种防御SYNFlood攻击的技术,在攻击流量比较小的情况下,SYNCookie技术可以有效地防御SYNFlood攻击;从路由器上限制流向单一目标主机的连接数或者分配给单一目标主机的宽带也是一种常用的防御手段。另外,由于一些攻击工具在攻击之前往往对攻击目标进行DNS解析,然后对解析之后的IP进行攻击。因此如果对于被攻击的服务器分配一个新IP,在DNS进行重新指向之后,攻击工具往往还会向原来的IP发送攻击,这样,被攻击的服务器就可以躲开攻击。这种方法被称为"退让策略"。

      由于防DoS攻击需要比较多的系统资源,一般使用单独的硬件平台实现,与防火墙一起串联部署在网络边界。如果与防火墙共用平台,只能防范流量很小的DoS/DDoS攻击,实用性较差。

      4.入侵防御网关

      入侵防御网关以在线方式部署,实时分析链路上的传输数据,对隐藏在其中的攻击行为进行阻断,专注的是深层防御、精确阻断,这意味着入侵防御系统是一种安全防御工具,以解决用户面临网络边界入侵威胁,进一步优化网络边界安全。

      5.防病毒网关

      随着病毒与黑客程序相结合、蠕虫病毒更加泛滥,网络成为病毒传播的重要渠道,而网络边界也成为阻止病毒传播的重要位置;所以,防病毒网关应运而生,成为斩断病毒传播途径最为有效的手段之一。

      防病毒网关技术包括两个部分,一部分是如何对进出网关的数据进行查杀;另一部分是对要查杀的数据进行检测与清除。纵观国外的防病毒网关产品,至今其对数据的病毒检测还是以特征码匹配技术为主,其扫描技术及病毒库与其服务器版防病毒产品是一致的。因此,如何对进出网关的数据进行查杀,是网关防病毒技术的关键。由于目前国内外防病毒技术还无法对数据包进行病毒检测,所以在网关处只能采取将数据包还原成文件的方式进行病毒处理,最终对数据进行扫描仍是通过病毒扫描引擎实现的。

      防病毒网关着眼于在网络边界就把病毒拒之门外,可以迅速提高企业网防杀病毒的效率,并可大大简化企业防病毒的操作难度,降低企业防病毒的投入成本。

      6.反垃圾邮件网关

      电子邮件系统是信息交互的最主要沟通工具,互联网上的垃圾邮件问题也越来越严重,垃圾邮件的数量目前以每年10倍的速度向上翻。而且往往会因为邮箱内垃圾邮件数量过多而无法看出哪些是正常邮件,大大浪费了员工的工作时间;另外,巨量的垃圾邮件也严重浪费了公司的系统和网络带宽的资源。

      反垃圾邮件网关部署在网络边界,可以正确区分邮件的发送请求以及攻击请求,进而将邮件攻击拒绝,以保障电子邮件系统的稳定运行;此外,在保障邮件正常通信的情况下对垃圾邮件以及病毒邮件进行有效识别并采取隔离措施隔离,可减少邮件系统资源以及网络带宽资源的浪费,进而提高公司员工的工作效率;最后,还不必为电子邮件系统出现故障时找不到问题而耗费时间,部署后的电子邮件系统将可以在不需要管理员进行任何干涉的情况下稳定运行,大大节省了电子邮件系统的管理成本。

      7.网闸

      安全性要求高的单位一般建设两个网络:内网用于内部高安全性业务;外网用于连接Internet或其他安全性较低的网络,两者是物理隔离的。既要使用内网数据也要使用外网数据的业务时,用户必须人工复制数据。实际应用中,用户希望这个过程自动化,解决"既要保证网络断开、又要进行“信息交换"的矛盾。

      网闸可用来解决这一难题。网闸提供基于网络隔离的安全保障,支持web浏览、安全邮件、数据库、批量数据传输和安全文件交换、满足特定应用环境中的信息交换要求,提供高速度、高稳定性的数据交换能力,可以方便地集成到现有的网络和应用环境中。

    展开全文
  • 从地质条件复杂性、开采技术水平和管理水平三个维度,设计了煤炭资源回收率的评价标准体系和基于模糊综合评价法的评价模型,根据评价结果将煤炭资源回收率合理性等级划分为不合理、合理、较合理和非常合理四个层面,并...
  • 初探零信任模型

    千次阅读 2019-04-12 11:32:25
    边界模型专注防御边界,将坏人挡在外面,假定已经在边界的任何事物都不会造成威胁,因而边界内部基本畅通无阻。 几乎所有网络安全事故的调查都指出,黑客在完成攻击之前,甚至之后,曾长期潜伏在企业内网,利用...

    (一)边界模型
    传统的基于边界的网络安全架构通过防火墙、WAF、IPS等边界安全产品/方案对企业网络边界进行重重防护。它的核心思想是分区、分层(纵深防御)。边界模型专注防御边界,将坏人挡在外面,假定已经在边界内的任何事物都不会造成威胁,因而边界内部基本畅通无阻。
    几乎所有网络安全事故的调查都指出,黑客在完成攻击之前,甚至之后,曾长期潜伏在企业内网,利用内部系统漏洞和管理缺陷逐步获得高级权限;另一方面,内部人员的误操作和恶意破坏一直是企业安全的巨大挑战,长期以来都没有好的解决方案。也就是说,认为企业内网是可信区域的传统看法是站不住脚的。
    除了外部威胁和内部威胁导致基于边界的安全体系失效,移动办公和云服务的增长,也令很多公司企业难以确立起网络边界。传统筑起边界长城守护内部资源的做法,随着企业数据的分散化和数据访问方式的多样化而不再有效。现实情况是,企业应用一部分在办公楼里,一部分在云端——分布各地的雇员、合作伙伴和客户通过各种各样的设备访问云端应用。
    零信任安全就是在这样的背景下诞生的,其目的是基于身份和访问控制从0构建企业新的逻辑边界。

    (二)零信任模型
    零信任安全最早由著名研究机构Forrester的首席分析师约翰.金德维格在2010年提出。零信任安全针对传统边界安全架构思想进行了重新评估和审视,并对安全架构思路给出了新的建议。
    其核心思想是,默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。诸如IP地址、主机、地理位置、所处网络等均不能作为可信的凭证。零信任对访问控制进行了范式上的颠覆,引导安全体系架构从“网络中心化”走向“身份中心化”,其本质诉求是以身份为中心进行访问控制。
    在Evan Gilman《零信任网络》一书中,零信任网络被描述为建立在以下五个基本断言上:

    1. 应该始终假设网络充满威胁。
    2. 外部和内部威胁每时每刻都充斥着网络。
    3. 不能仅仅依靠网络位置来建立信任关系。
    4. 所有设备、用户和网络流量都应该被认证和授权。
    5. 访问控制策略应该是动态的基于尽量多的数据源进行计算和评估。
      由此可以看出,零信任的理念,已经从边界模型“信任但验证”转换到“从不信任,始终验证”的模式。
      根据以上五个断言,零信任模型被认为遵守以下4个基本原则:
    6. 验证用户:基于位置、设备和行为来评估用户安全情况,确定用户是否是其所声称的身份。采取恰当的措施(比如多因子身份验证)来确保用户真实性。
    7. 验证设备:无论是公司设备、BYOD还是公共主机、笔记本电脑或移动设备,基于设备身份和安全情况实施访问控制策略。只允许受信终端访问公司的资源。
    8. 限制访问与权限:如果用户和设备通过了验证,对资源实施基于角色的访问控制模型,赋予其仅供完成当次工作的最小权限。
    9. 自适应:各类源(比如用户、其设备、与之相关的所有活动)总在不断产生信息。利用机器学习来设置上下文相关访问策略,自动调整并适应策略。

    (三)零信任解决的问题层次
    根据攻击者威胁模型,可以按攻击者的能力由弱到强划分为五类:

    1. 乐观攻击者(Opportunistic attackers),即脚本小子。
    2. 针对性攻击者(Targeted attackers),能够向特定目标发起针对性攻击,如鱼叉式钓鱼、商业间谍。
    3. 内部威胁(Insider threats),拥有访问凭证的日常系统用户。如承包商、没有特权的员工。
    4. 可信的内部人员(Trusted insider),如高度可信的系统管理员。
    5. 国家级角色(State-level actor),受国外、国内政府支持,拥有巨大的资源和定位能力,如APT。
      防范APT攻击一般要求在同等级别进行对抗,任何单一的企业,无论是资源还是技术能力,都无法比肩专业的APT组织,一般的企业可以不考虑。除此以外,零信任网络致力缓解包含可信内部人员在内的其他四类攻击者(恶意或是无心),而现有的边界模型只关注乐观攻击者和针对性攻击者此类外部威胁。
      (四)实施零信任的关键技术与难点
      首先是建立资产清单库,至少包括用户清单库、设备清单库。且能够根据企业组织架构调整、人员变动、设备丢失等情况对资产进行生命周期管理,且动态维护相关联的属性特征。如人员职级、角色,设备证书状态、设备是否安装了最新的补丁等。
      身份认证可以对现有技术进行融合,如多因子身份验证(MFA)、可信身份认证(FIDO)、身份与访问管理(IAM)、SSO等。
      零信任要求细粒度的访问控制,如基于单一请求的服务级别的访问控制。这里的要点有两个:a)每次请求都必须要求访问控制策略;b)一次请求是由众多不同的服务(最小逻辑单元)共同完成的,访问控制策略的粒度必须到服务级别,而不能仅停留在请求级别(url或method)上。
      配置管理,用于维护资产、策略等,且有利于自动化。如Chef,Puppet等。
      内网流量也要求全部加密。通过TLS、IPSec等技术创建安全通道,并通过PKI/CA/X.509等基础设施实现流量的保密性和完整性。同时,所有流量必须被记录和监控。
      自学习、自适应的动态模型。利用机器学习,通过用户及实体行为分析(UEBA)识别异常行为等。
      除了技术方面,人的观念转变和高层支持更加重要。否则,零信任根本难以起步。

    (五)案例:BeyondCorp
    作为零信任网络的先行者,谷歌花了6年时间才从其VPN和特权网络访问模式迁移到BeyondCorp零信任环境。期间谷歌不得不重新定义和调整其职位角色及分类,建立起全新的主控库存服务以跟踪设备,并重新设计用户身份验证及访问控制策略。从2014年起,Google连续在《;login:》杂志上发表了6篇BeyondCorp相关的论文,全面介绍BeyondCorp和Google从2011年至今的实施经验。
    Google将BeyondCorp项目的目标设定为“让所有Google员工从不受信任的网络中不接入VPN就能顺利工作”。在这个新方案中,Google平等对待位于外部公共网络和本地网络的设备,在默认情况下都不会授予任何特权。用户必须:1)使用由公司提供且持续管理的设备,2)通过身份认证,3)符合访问控制引擎中的策略要求4)通过专门的访问代理5)访问特定的、允许的公司内部资源。
    在这里插入图片描述
    上图中,Device Inventory Database负责维护设备信息,对设备进行生命周期管理;User/Group Database对用户管理并进行分组。无论所处什么类型的网络(Public or Unprivileged),所有用户通过任何设备访问内部资源,都必须经过Access Proxy,由其代理请求。Access Proxy拥有全局可达(global reachability,也称end-to-end reachability)、TLS处理、负载均衡、认证、访问控制、集中日志记录、应用健康检查、拒绝服务保护等功能。其中,用户认证由SSO完成,基于请求的服务级别的细粒度访问控制由Access Proxy内部的Access Control Engine完成。Access Control Engine根据Pipeline汇聚的用户信息、用户所属组、设备信息、设备证书以及Trust Inference综合不同数据源动态推导的用户、设备信任等级作出是否授权本次访问请求的最终决定。

    (六)参考材料
    如何打造一个“零信任”网络:
    https://www.aqniu.com/learn/36127.html

    “零信任”安全架构将成为网络安全流行框架之一:
    https://www.aqniu.com/learn/31075.html

    摒弃信任验证模式 走向零信任安全:
    https://www.aqniu.com/learn/32620.html

    零信任安全的4W1H:
    https://mp.weixin.qq.com/s/yBzdo9qHacTajQFNpmjvpQ

    谷歌的零信任安全架构实践:
    https://www.secrss.com/articles/627

    六篇BeyondCorp系列论文:
    https://www.usenix.org/publications/login/

    《Zero Trust Networks: Building Secure Systems in Untrusted Networks》
    本文转自:“银联技术”公众号https://mp.weixin.qq.com/s/dzW2WZlpVYKplKsYgPC_sw

    展开全文
  • 浅谈领域模型

    2021-02-24 01:38:40
    领域模型是什么?...很多人一上来理解领域驱动设计(DDD),基本都是一头雾水,因为模型设计的初衷并不是围绕性能、架构、分层等软件概念展开的,而是从边界聚等抽象概念开始讲起。理解领域模型,并不是通过
  • 边界生产函数的模型和估计方法进行了综述,用这一理论方法建立了我国统配煤矿企业原煤生产的边界生产函数。还提出了评定各企业的生产效率状况的指标:企业技术效率水平参数和技术效率指数,以及影响企业产量变化的...
  • 业务模型;UML类图

    因为欣赏所以转载,原文地址 http://blog.csdn.net/sunleap/article/details/4976993

    开发的流程有以下几步:

    image

                   对象图

    • 组织视图:组织结构的静态模型。包括:层次组织结构的人员(people not human)资源,生产资源(比如,设备,运输等)以及计算机、通信网络结构等。 
    • 数据视图:业务信息的静态模型。包括:数据模型,知识结构,信息载体,技术术语和数据库模型等。 
    • 功能视图:业务流程任务的静态模型。包括:功能层次,业务对象,支持系统和应用软件等。 
    • 控制(业务)视图:动态模型,展示流程运转情况,并能够将业务流程与流程相关的资源、数据以及功能等联系起来。包括:事件驱动过程链、信息流、物流、通信图、产品定义、价值增值图等。
    业务模型的画法可以用任何编辑工具如Visio、word完成,当然目前PowerDesigner、Erwin等专业工具也支持业务模型。
    数据模型是对企业或信息系统种的数据特征的抽象,随着数据库技术的大量使用,主要指数据库模型。
      数据模型所描述的内容包括三个部分:数据结构、作用于数据上的操作、数据约束。
      1)数据结构:数据模型中的数据结构主要描述数据的类型、内容、性质以及数据间的联系等。数据结构是数据模型的基础,数据操作和约束都建立在数据结构上。不同的数据结构具有不同的操作和约束。
      2)数据操作:数据模型中数据操作主要描述在相应的数据结构上的操作类型和操作方式。
      3)数据约束:数据模型中的数据约束主要描述数据结构内数据间的语法、词义联系、他们之间的制约和依存关系,以及数据动态变化的规则,以保证数据的正确、有效和相容。
      数据模型按不同的应用层次分成三种类型:分别是概念数据模型、逻辑数据模型、物理数据模型。
      1)概念数据模型(Conceptual Data Model):简称概念模型,主要用来描述世界的概念化结构,与具体的数据库系统无关。概念数据模型必须换成逻辑或物理数据模型,才能在数据库系统中实现。概念数据模型中最常用的是E-R模型。
      2)逻辑数据模型(Logical Data Model):简称数据模型,这是从数据库所看到的模型,是具体的数据库管理系统所支持的数据模型,如网状数据模型(Network Data Model)、层次数据模型(Hierarchical Data Model)等等。此模型既要面向用户,又要面向系统。
      3)物理数据模型(Physical Data Model):简称物理模型,是面向计算机物理表示的模型,描述了数据在储存介质上的组织结构。物理数据模型的设计要考虑数据管理的性能问题,它不但与具体的数据库系统有关,而且还与操作系统和硬件有关。每一种逻辑数据模型在实现时都有起对应的物理数据模型。
    可以利用PowerDesigner、Erwin、Oracle Data builder、Infosphere Data Architect、Rose等建模工具建立数据模型。
    这个应该是软件开发者喜欢的模型,使用面向对象分析(OOA)和面向对象设计(OOD)过程中所建立模型,包括类图、对象图、状态图以及与之相关的活动图、顺序图、组件图等,可以利用UML建模工具,如Rose、Infosphere DataArchitect等工具以及软件
    集成开发工具(Eclipse、Netbeans)建立面向对象模型。当然有些数据建模工具也支持面向对象模型。
    数据挖掘模型的概念虽然重要,但没有比较权威的解释,我说一下自己的理解,使用数据挖掘算法建立的,描述数据之间的关系模型就叫数据挖掘模型。
    数据挖掘模型的表现形式多种多样,跟数据挖掘算法有关,也跟我们要进行的后续操作有关。比如表现学生身高体重关系的函数(可以是直线、曲线、二次函数、多项式函数)是一个数据挖掘模型;表现超市商品关联关系的关联规则集合也是一个数据挖掘模型;表现银行客户分类情况的决策树也是一个数据挖掘模型。
     

    各个阶段的UML图

    (1)需求阶段是:用例图

    (2)分析阶段是:类图、序列图

    (3)设计阶段:类图、序列图与平台结合

    业务建模工作步骤:

    (1)选定业务单元

    (2)识别业务执行者

    (3)识别业务用例

    (4)详述业务用例

    (5)建立业务对象模型

        类图(Class Diagram)应该是使用的最多的一种UML图。其语法并不复杂,可能只需要几天时间就能掌握,但是其背后的面向对象(OO)思想却是需要日积月累才能深刻理解。

     

    1、OOA(Object-Oriented Analysis 面向对象分析)

    2、OOD(Object-Oriented Design 面向对象设计)

    3、OOP(Object-Oriented Programming 面向对象编程)

    4、OOT(Object-Oriented Technology 面向对象技术)

     

    PS:无论是开发人员还是分析人员,这几种思想是必须要掌握的,作为开发人员来说,OO的思想,其深度和延伸内容可谓博大精深,值得花时间去学习。

     

        类可以视作一现实事物抽象出的统一的、相似的模型。

     

        对象可以看做是类的具体化,就像模具导出的产品一样。

     

        类图就是描述类与类之间关系的图。

    案例:


    1、识别出类。

    2、识别出类的主要属性。

    3、画出类之间的关系。

    4、对各类进行分析、抽象、整理。

        两个类之间有关系,但又不确定是什么关系,可以用关联关系表达。


    PS:关联关系如果出现数量上的对应可以写上数字表示数量,可以用角色关系表示两类分别处于什么角色,单向关联关系表示关联是单向的,只能由关联方找到被关联方。在写代码时,可以将其视作关联类包含了被关联类的一个引用。

        包含关系表示一个类包含另一个类。

    PS:包含关系分为两种,一种是弱包含关系,叫做聚合,为空心菱形,一种是强包含关系,叫做组合,为实心菱形。一开始可以将所有包含关系视作弱包含,当发现某些关系可以用强包含表示时,才转为强包含关系。

        当一个类是另一个类的子类时,可以使用泛化关系。

    PS:泛化关系通常也被称作继承关系,根据类的发现先后关系,如果是由父类导出子类,这样就可以说子类继承父类,如果是由子类导出父类,这样就可以说父类泛化子类。

     

        当一个类可以实现某个抽象类时,可以使用实现关系。

    PS:标识接口与类之间的关系用的比较多。

     

        当一个类需要另一个类协助时,可以用依赖关系表示。


        当某类使用或者包含自己时,可以使用递归关系。


        当发现两个类之间的关系不能用一般关系来表示,这时候可以用关联类来表示关系,这也就是三角关系。

    PS:可以通过思考属性是否恰当来识别出关联类关系,列出两类的关键属性之后,思考这些属性的属性值是不是由该类本身就可以确定,如果不能两类之间就可能有关联类关系。

     


        如果说类图代表了一类事物,那么对象图就代表着某个具体的事物。

    现实世界被业务模型映射并且记录下来,但 这只是原始需求信息,距离可执行的代码还很遥远,必须把这些内容再换成一种可以指导开发的表达方式。UML 通过称之为概念化的过程( Conceptual)来 建立适合计算机理解和实现的模型,这 个模型称为分析模型( Analysis Model)。分析模型介于原始需求和计算机实现之间,是一种过渡模型。分析模型向上映射了原始需求,计算机的可执行代码可以通过分析模型追溯到原始需求;同时,分析模型向下为计算机实现规定了一种高层次的抽象,这种抽象是一种指导,也是一种约束,计算机实现过程非常容易遵循这种指导和约束来完成可执行代码的设计工作。

    事实上分析模型在整个分析设计过程中承担了很大的职责,起到了非常重要的作用。绘制分析模型最主要的元模型有:

    边界类(boundary) 。边界是面向对象分析的一个非常重要的观点。从狭义上说,边界就是大家熟悉的界面,所有对计算机的操作都要通过界面进行。从广义上说,任何一件事物都分为里面和外面,外面的事物与里面的事物之间的任何交互都需要有一个边界。比如参与者与系统的交互,系统与系统之间的交互,模块与模块之间的交互等。只要是两个不同职责的簇之间的交互都需要有一个边界,换句话说,边界决定了外面能对里面做什么“事”。 在后续的章节中,读者会感受到边界的重要性,边界能够决定整个分析设计的结果。

    实体类(entity) 。原始需求中领域模型中的业务实体映射了现实世界中参与者完成业务目标时所涉及的事物,UML 采用实体类来重新表达业务实体。实体类可以采用计算机观点在不丢失业务实体信息的条件下重新归纳和组织信息,建立逻辑关联,添加那些实际业务中不会使用到,但是执行计算机逻辑时需要的控制信息等。这些实体类可以看作是业务实体的实例化结果。

    控制类(control) 。边界和实体都是静态的,本身并不会动作。UML 采用控制类来表述原始需求中的动态信息,即业务或用例场景中的步骤和活动。从UML 的观点看来,边界类和实体类之间,边界类和边界类之间,实体类和实体类之间不能够直接相互访问,它们需要通过控制类来代理访问要求。这样就把动作和物体分开了。考虑一下,实际上在现实世界中,动作和物体也是分开描述的。

    读者或许在小时候都玩过一个游戏,每个同学发四张小纸条,在第一张纸条上写上XXX 的名字,在 第二张纸条上写上在什么地方,在 第三张纸条上写上一个动作,在 第四张纸条上写一个物体,然后将这些字条分开放在四个箱子里,再随意地从这四个箱子里各取一张纸条,就能组成很多非常搞笑的句子,例如张XX 在公园里跳圆规之类的奇怪语句,一个班的同学常常笑得前仰后合。

    游戏虽然是游戏,但说明了一个道理,只要有人、事、物和规则(定语),就能构成一个有意义的结果,无非是是否合理而已。分析类也是应用这个道理来把业务模型概念化的。由于所有的操作都通过边界类来进行,能做什么不能做什么由边界决定,所以边界类实际上代表了原始需求中的“事”; 实体类则由业务模型中的领域模型转化而来,它代表了现实世界中的“物”; 控制类则体现了现实世界中的“ 规则”, 也 就是定语;再 加上由参与者转化而来的系统的“ 用户”, 这 样一来,“ 人”也有了。有了人、事、物、规则,我们就可以像那个游戏一样把它们组合成各种各样的语句,只不过不是为了搞笑,所以不能随意组合,而是要依据业务模型中已经描绘出来的用例场景来组合这些元素,让它们表达特定的业务含义。

    (1)业务模型:也称企业模型,它为企业提供一个框架结构,以确保企业的应用系统与企业经常改进的业务流程紧密匹配。可以说,也就是说业务建模主要是从业务的角度而非技术角度对企业进行建模。典型的建模方法包括Zachman框架、ARIS HOUSE模型等,业务模型一般包括下面一些视图:

    (2)数据模型

    (3)面向对象模型

    (4)数据挖掘模型

    展开全文
  • 概念模型:确定系统的核心以及划清系统范围和边界 该阶段需完成: 1.该系统的商业目的是什么,要解决何种业务场景 2.该业务场景中,有哪些人或组织参与,角色分别是什么 3.该业务场景中,有哪些物件参与, 4.此外...
    注:本文的数据建模基本流程适用于OLTP系统数据建模,同样也涵盖了DW的数据建模
    


    数据建模基本流程:概念模型->逻辑模型->物理模型

    概念模型:确定系统的核心以及划清系统范围和边界
    该阶段需完成:
    1.该系统的商业目的是什么,要解决何种业务场景
    2.该业务场景中,有哪些人或组织参与,角色分别是什么
    3.该业务场景中,有哪些物件参与,
    4.此外需要具备相关行业经验:如核心业务流程,组织架构,行业术语
    5.5w1h:who, what,when,where,why,  how
    概念模型tips:
    1.注重全局的理解而非细节
    2.在概念模型阶段,就需要对整体架构做思考
    3.概念模型阶段通常是自上而下的模式,这里需要读大量的文档做课前工作,并且通过大量的会议进行反复沟通、澄清需求确认需求。
    4.在此阶段,应粗略地估算出整个项目需要的时间以及项目计划草案
    5.出品的概念模型可以帮助划定系统边界,也就是说什么地方做什么地方不做,另外也能够帮助避免一些方向性的错误
    6.当然业务和数据都精通的专家更好了,但对比数据专家,这个阶段更需要业务专家来配合
    7.可以说概念模型是一个沟通的基础,假设你和客户讨论,讨论的内容是什么?依据什么来讨论?这个就是概念模型存在的意义,同时它也是逻辑模型非常重要的输入,逻辑模型其实就是概念模型逐步求精的结果。
    8.要用与客户一致的商业语言,这个目的主要是避免双方沟通产生歧义
    9.通常用实体关系图表示,但不需要添加实体的属性

    逻辑模型:梳理业务规则以及对概念模型的求精
    该阶段需完成:
    1.分多少个主题?每个主题包含的实体
    2.每个实体的属性都有什么?
    3.各个实体之间的关系是什么?
    4.各个实体间是否有关系约束?
    逻辑模型tips:
    1.当你结束了逻辑建模,如果项目是以数据为核心应用的话,你就能够更精确推算出整个项目需要的时间,同时你也能估算出更精确的费用。
    2.如果你的实体数量超过100个,建议你使用术语表进行统一的规划定义
    3.建议采用3NF进行规范化建模
    4.一定要先规范化,再逆规范化
    5.不可缺少约束的定义,比如主键,比如外键,比如特殊属性的范围定义等。
    6.强烈建议使用CASE工具做逻辑建模
    7.从系统工程管理的角度来讲,你需要一个和你同等级或者略高等级的同事(或小组)帮助定期评审你的模型,以确保模型的质量。
    8.对于逻辑模型而言,需要对各个实体,重要的属性做结构化、详尽、准确的描述
    9.需要和概念模型保持一致,如果发现有些地方不一致,需要确认是逻辑模型出问题了还是概念模型出问题了,再统一修正。
    10.要非常非常注意细节,很多时候基础模型的一个小小的纰漏都会带来相关程序大量的修改
    11.和概念模型简单明了的一页纸不同,逻辑模型应该是像一本书一样,它需要被用来生成未来的数据字典
    12.和概念模型只有实体无需属性不同,所有实体属性都需要添加进去,不应有遗漏
    13.实体之间的关系,是1:N, 0:N, 要清晰的描述
    14.如果实体数量足够多,需要使用术语表
    15.要严格遵循命名规则 
    16.对各个实体均需要有清晰完整的描述 
    17.对于关键属性都需要有清晰的描述 

    物理模型:从性能,访问,开发等多方面考虑,做系统的实现
    该阶段需完成:
    1.类型与长度的定义
    2.字段的其他详细定义:非空,默认值
    3.却准详细的定义:枚举类型字段,各枚举值具体含义
    4.约束的定义:主键,外键
    物理模型tips:
    1.注意开发,测试,生产不同版本的模型管理
    2.注意性能
    3.估算数据规模
    4.考虑数据归档
    5.同分考虑未来使用数据库的优点与缺点

    什么样的模型算是高质量数据模型呢?
    1.对真实世界的抽象和表达要正确并且完整;
    2.需要使用标准化的建模语言,使数据模型能够清晰的表达设计的思想,让人容易理解并不产生歧义
    3.数据模型的框架稳定并且灵活,能够一定程度上容纳未来的变化
    4.根据需求的实际情况,不要随意的逆规范化,要尽可能的减少数据冗余
    5.需要充分考虑潜在的性能问题,尤其要根据数据库产品的特点,避免使用数据库产品的短处。
    6.要不仅仅站在当前项目的视角去构筑模型,需要从企业的全局视角出发,比如方便其他系统访问,可以很方便的外部数据接口,命名规则术语定义和企业标准保持一致,等等。




    展开全文
  • 采煤沉陷耕地作物生长状况是确定土地损毁程度进而影响土地复垦难度和复垦方案选择的关键,也是矿山企业赔付的依据。近年来,随着计算机图像处理技术的逐渐成熟,使得图像处理与识别技术得到了广泛应用,采用图像识别...
  • 贫血模型与充血模型

    千次阅读 2012-03-10 05:03:12
    贫血模型与充血模型再讨论  Martin Fowler很早以前就写过一篇文章,题目叫"贫血模型"。文章里面批判贫血的领域模型是不够优雅、不够OO的,提倡使用充血的领域模型。在Java世界里这是一直争论的话题。到底什么是...
  • 一、边界边界在UML图符里定义只是一个简单的矩形框,矩形框的四个边决定了边界的内外。边界本质上是面向对象方法的一个很重要的概念,与封装的概念相似。在面向对象里,任何一个对象都有一个边界,外界只能通过这个...
  • 本文将对比分析DDD分层架构、整洁架构、六边形架构。 整洁架构 又名“洋葱架构”(看图就懂),...实现领域核心业务逻辑,封装了企业级业务规则。领域模型的主体是实体(可以是一个带方法的对象,也可以是一个数据
  • 领域模型介绍

    千次阅读 2019-05-30 09:44:19
    背景 UML比较难学,主要是其本身很复杂并且涉及到大量的概念名词。领域模型就是其中之一,网络上搜索到关于领域模型的知识...Domain Model是一个商业建模范畴概念,即使一个企业不开发软件,也具备其业务模型; ...
  • 而且在企业持续集成的领域中,我们会考虑很多种类型的自动化测试和手工测试。尽管如些,很多团队在测试方面还是比较弱。很常见的一个版本发布场景就是:某个团队完成一个版本后,手工测试一下基本功能就发布了。而...
  • 领域模型

    千次阅读 2019-06-06 17:51:57
    背景 UML比较难学,主要是其本身很复杂并且涉及到大量的概念名词。领域模型就是其中之一,网络上搜索到关于领域模型的知识...Domain Model是一个商业建模范畴概念,即使一个企业不开发软件,也具备其业务模型; ...
  • SharePoint 2013 的软件边界和限制

    千次阅读 2014-07-04 14:04:19
    例如,添加网站集时对处于负载状态的服务器场行为的观察值指示,某些功能呈现不可接受的高延迟,而其他功能仍在可接受参数操作。因此,分配给网站集数量的最大值并不是绝对的,而是基于一组预期的使用特征计算得出...
  • 本文选自:http://www.jianshu.com/p/fe45506ea358http://blog.csdn.net/zsy_gemini/article/details/9060105http://wuaner.iteye.com/blog/856450背景关于领域模型的知识应该是有两种,一种是来源于最初的传统软件...
  • 一、瀑布模型 瀑布模型(Waterfall Model)是一个项目开发架构,开发过程是通过设计一系列阶段顺序展开的,从系统需求分析开始直到产品发布和维护,...包括软件工程开发、企业项目开发、产品生产以及市场销售等构造瀑
  • 企业数据库三层结构模型,MVC模式,设计模式,面向对象设计,接口规范及其他
  • 评价模型

    万次阅读 多人点赞 2018-07-11 22:35:30
    评价模型 HeartGo 关注2017.01.19 12:10* 字数 4802 阅读 2941评论 0喜欢 6数据挖掘之评价模型层次分析法(AHP)基本思想:是定性与定量相结合的多准则决策、评价方法。将决策的有关元素分解成目标层、准则层和...
  • 并发编程模型

    千次阅读 2016-05-18 16:41:25
    并发系统可以采用多种并发编程模型来实现。并发模型指定了系统中的线程如何通过协作来完成分配给它们的作业。 不同的并发模型采用不同的方式拆分作业,...并发模型与分布式系统并发模型类似于分布式系统中使用的很
  • 机器学习模型可解释性的详尽介绍

    千次阅读 多人点赞 2019-11-26 12:22:00
    机器之心平台来源:腾讯技术工程模型可解释性方面的研究,在近两年的科研会议上成为关注热点,因为大家不仅仅满足于模型的效果,更对模型效果的原因产生更多的思考,这样的思考有助于模型和特征的优化,更能够帮助更...
  • ARIMA模型,全称为自回归积分滑动平均模型(Autoregressive Integrated Moving Average Model),是由博克思(Box)和詹金斯(Jenkins)于20世纪70年代初提出的一种时间序列预测方法。ARIMA模型是指在将非平稳时间序列...
  • SDP 软件定义边界

    千次阅读 2019-06-24 07:19:00
    此实施模型可以在企业网络执行,以减轻常见的横向移动攻击,如服务器扫描、操作系统和应用程序漏洞攻击、中间人攻击、传递散列和许多其他攻击。或者,它可以在 Internet 上实施,将受保护的服务器与未经授权的用户...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 36,335
精华内容 14,534
关键字:

企业内生边界模型