摘要：對(duì)于探索在生物信息領(lǐng)域的研究機(jī)構(gòu)和實(shí)驗(yàn)室來說，往往需要構(gòu)建一個(gè)專門的生物信息分析平臺(tái)。該文從實(shí)用性與安全性出發(fā)，科學(xué)地配置了BLAST、InterProScan、Jemboss環(huán)境，設(shè)計(jì)了一個(gè)生物信息分析系統(tǒng)架構(gòu)；應(yīng)用了入侵容忍技術(shù)機(jī)制，設(shè)計(jì)了使用冗余與多樣性技術(shù)相結(jié)合的生物信息分析平臺(tái)應(yīng)用模型，增強(qiáng)了生物數(shù)據(jù)信息的正確性和安全性；對(duì)應(yīng)用模型的工作原理進(jìn)行了闡述。

關(guān)鍵詞：入侵容忍；BLAST；InterProScan；Jemboss；生物信息分析

中圖分類號(hào)：TP311.52 文獻(xiàn)標(biāo)識(shí)碼：A 文章編號(hào)：1009-3044（2013）10-2476-03

1 概述

1.1 生物數(shù)據(jù)庫與分析系統(tǒng)

隨著生物技術(shù)的深入發(fā)展和實(shí)驗(yàn)數(shù)據(jù)積累，產(chǎn)生了海量的生物信息資源數(shù)據(jù)庫。一般來說，這些生物信息資源數(shù)據(jù)庫可以分為一級(jí)數(shù)據(jù)庫和二級(jí)數(shù)據(jù)庫。

其中，一級(jí)數(shù)據(jù)庫也稱為基礎(chǔ)數(shù)據(jù)庫，其數(shù)據(jù)資源是直接從基礎(chǔ)實(shí)驗(yàn)研究工作中獲得的原始數(shù)據(jù)，它本身只是經(jīng)過比較簡單粗糙的歸類、整理和備注注釋。二級(jí)數(shù)據(jù)庫則是在一級(jí)數(shù)據(jù)庫的基礎(chǔ)上，由不同的研究組織和研究者通過進(jìn)一步的實(shí)驗(yàn)分析和數(shù)據(jù)整理而產(chǎn)生，它往往針對(duì)特定的研究目標(biāo)衍生出來，是對(duì)生物學(xué)知識(shí)和信息資源的進(jìn)一步挖掘和應(yīng)用整理 [1]。

許多科研部門與實(shí)驗(yàn)室紛紛利用Internet與一級(jí)、二級(jí)生物信息數(shù)據(jù)庫進(jìn)行鏈接，以滿足生物分析研究的諸多需求。但是這種資源鏈接方式往往受制于Internet環(huán)境的影響，運(yùn)行的安全性能較差，存在著巨大的數(shù)據(jù)安全隱患和風(fēng)險(xiǎn)。考慮到目前越來越多的生物信息學(xué)分析軟件和數(shù)據(jù)庫可以通過 Internet免費(fèi)下載獲取。因此， 可以采用第三代網(wǎng)絡(luò)安全技術(shù)來構(gòu)建一個(gè)安全、高效的本地化生物信息學(xué)分析平臺(tái)，以滿足生物信息研究的現(xiàn)實(shí)安全需要。

1.2 入侵容忍技術(shù)

入侵容忍技術(shù)屬國際前沿的第三代網(wǎng)絡(luò)安全技術(shù)，也是信息安全領(lǐng)域的學(xué)術(shù)熱點(diǎn)。第一代、二代安全技術(shù)均難實(shí)現(xiàn)系統(tǒng)絕對(duì)安全。入侵容忍技術(shù)承認(rèn)來自內(nèi)外的攻擊不可避免，強(qiáng)調(diào)當(dāng)受到攻擊時(shí)即使某組件遭破壞或被控制，仍能保證數(shù)據(jù)的秘密性與完整性、保證系統(tǒng)關(guān)鍵功能運(yùn)行，從而仍能對(duì)外提供正?；蚪导?jí)的服務(wù)。入侵容忍機(jī)制常可用冗余與多樣性技術(shù)來實(shí)現(xiàn)。

冗余（Redundancy）是指配置多于實(shí)際應(yīng)用所需的資源或信息。冗余的原理是重復(fù)配置系統(tǒng)的一些組件，當(dāng)系統(tǒng)發(fā)生故障時(shí)，冗余配置的組件介入并承擔(dān)故障組件的工作，繼續(xù)執(zhí)行原故障組件的功能直到該組件被修復(fù)。也即是說，即使所系統(tǒng)的一些地方失效或產(chǎn)生故障，通過使用冗余組件，仍能保障系統(tǒng)的繼續(xù)有效運(yùn)行、減少系統(tǒng)的故障時(shí)間或改善服務(wù)性能，增強(qiáng)系統(tǒng)的安全特性。具體地，冗余可以設(shè)置在多個(gè)服務(wù)器和數(shù)據(jù)庫中，讓它們存儲(chǔ)和管理相同的數(shù)據(jù)信息。

多樣性（Diversity）是指資源或信息以異構(gòu)的環(huán)境配置來進(jìn)行數(shù)據(jù)信息資源的管理或存儲(chǔ)。多樣性的原理是在不同的服務(wù)器上運(yùn)行配置不同的環(huán)境資源，如在不同的操作平臺(tái)之上（Linux或者Unix或者Windows），還可以設(shè)置應(yīng)用程序也在不同的環(huán)境中運(yùn)行（Apache，IIS等）。使用多樣性技術(shù)，系統(tǒng)之間以異構(gòu)的方式組織，減少了單點(diǎn)失效等相關(guān)的錯(cuò)誤風(fēng)險(xiǎn)，加大了攻擊者完全攻克系統(tǒng)的難度。

2 生物信息分析應(yīng)用平臺(tái)的構(gòu)建

2.1 系統(tǒng)構(gòu)架

2.2 BLAST配置

BLAST （ basic local alignment search tool），即基本局部相似性比對(duì)搜索工具， 是美國國家生物技術(shù)信息中心（NCBI）提供的一套廣泛應(yīng)用于在蛋白質(zhì)數(shù)據(jù)庫或者DNA數(shù)據(jù)庫中進(jìn)行相似性比較的分析研究工具。它結(jié)合了動(dòng)態(tài)規(guī)劃算法和間接啟發(fā)式算法的優(yōu)點(diǎn)，把數(shù)據(jù)庫搜索建立在了嚴(yán)格的統(tǒng)計(jì)學(xué)理論基礎(chǔ)上，大大提高了搜索速度，是目前在技術(shù)上非常成熟且廣泛使用的同源檢索工具[2][3][4]。

2.3 InterProScan配置

2.4 JEMBOSS配置

3 入侵容忍技術(shù)在平臺(tái)中的應(yīng)用設(shè)計(jì)

在本系統(tǒng)中，采用冗余與多樣性技術(shù)來實(shí)現(xiàn)生物信息分析平臺(tái)入侵容忍方案如圖2所示[5][6]。外網(wǎng)的一級(jí)/二級(jí)數(shù)據(jù)庫可以直接下載到本地?cái)?shù)據(jù)庫服務(wù)器中，因此在本模型中，僅考慮局域網(wǎng)內(nèi)的應(yīng)用。

在基于入侵容忍的生物信息分析平臺(tái)應(yīng)用模型中，主要包括幾部分：客戶端用戶、代理服務(wù)器、Web服務(wù)器、數(shù)據(jù)庫服務(wù)器[7]。系統(tǒng)模型工作原理如下：當(dāng)客戶（Client）通過Intranet訪問Web生物信息分析平臺(tái)時(shí)并提出服務(wù)請(qǐng)求（Request）時(shí)，首先經(jīng)過由入侵檢測(cè)系統(tǒng)與防火墻互聯(lián)形成的外層保護(hù)組的過濾，并對(duì)請(qǐng)求數(shù)據(jù)進(jìn)行驗(yàn)證，如果請(qǐng)求為帶惡意的攻擊行為，檢測(cè)系統(tǒng)和防火墻保護(hù)組會(huì)對(duì)其進(jìn)行控制和阻斷，然后丟棄該請(qǐng)求數(shù)據(jù)包。如果確認(rèn)此請(qǐng)求包是可信任時(shí)就將此發(fā)送給代理服務(wù)器（必要時(shí)可以設(shè)置代理服務(wù)器組）。

客戶的請(qǐng)求進(jìn)入代理服務(wù)器后，其內(nèi)置的安全檢測(cè)模塊首先檢測(cè)請(qǐng)求的有效性，若請(qǐng)求無效，該請(qǐng)求的相關(guān)信息轉(zhuǎn)交給安全檢測(cè)系統(tǒng)繼續(xù)進(jìn)行分析，如果安全檢測(cè)的結(jié)果表明該請(qǐng)求是具有惡意的，恢復(fù)重構(gòu)模塊就對(duì)系統(tǒng)策略進(jìn)行調(diào)整，如果請(qǐng)求不含惡意行為，會(huì)在審計(jì)控制模塊寫入系統(tǒng)日志，然后將其刪除。若請(qǐng)求有效，就將合法的請(qǐng)求轉(zhuǎn)發(fā)到Web生物信息分析平臺(tái)的服務(wù)器。

Web生物信息分析平臺(tái)的服務(wù)器接收到代理服務(wù)器轉(zhuǎn)發(fā)的請(qǐng)求后，執(zhí)行入侵容忍策略的服務(wù)方針。該方針根據(jù)負(fù)載平衡的原則決定具體由哪些生物信息數(shù)據(jù)庫服務(wù)器來執(zhí)行請(qǐng)求，執(zhí)行請(qǐng)求的全部過程都在集合成員一致性協(xié)議的指導(dǎo)之下進(jìn)行。由于生物信息數(shù)據(jù)庫服務(wù)器采用了冗余和多樣性的技術(shù)配置，在異構(gòu)環(huán)境下提供的是相同的數(shù)據(jù)服務(wù)，不會(huì)影響生物信息分析結(jié)果。此外，一致性協(xié)議還監(jiān)督數(shù)據(jù)庫服務(wù)器中成員（如DB2、Oracle、SQL Server等）的狀態(tài)，能及時(shí)發(fā)現(xiàn)由故障引起的不一致，對(duì)有故障的數(shù)據(jù)庫服務(wù)器進(jìn)行隔離、處理。最后將除故障成員外的其他正常成員得到的一致的響應(yīng)結(jié)果送回代理服務(wù)器。代理服務(wù)器檢查其有效性后將結(jié)果送到客戶端，形成最終響應(yīng)（Response）。

在此應(yīng)用模型中，如果數(shù)據(jù)庫服務(wù)器的響應(yīng)結(jié)果沒有遵循一致性協(xié)議而產(chǎn)生不一致的情況，可以利用安全管理組中的恢復(fù)重構(gòu)主動(dòng)根據(jù)來自系統(tǒng)中其它模塊的分析信息，判定系統(tǒng)當(dāng)前的安全級(jí)別，采取相應(yīng)的重配置策略，對(duì)相關(guān)的組件進(jìn)行重配置，恢復(fù)有故障的數(shù)據(jù)庫服務(wù)器，從而保證系統(tǒng)能夠提供正?；蚪导?jí)的持續(xù)數(shù)據(jù)服務(wù)，大大增強(qiáng)了生物信息分析平臺(tái)數(shù)據(jù)的正確性和安全性。

4 結(jié)束語

近年來，國內(nèi)外有關(guān)研究機(jī)構(gòu)和實(shí)驗(yàn)室數(shù)據(jù)資源被非法入侵的事件屢見不鮮。構(gòu)建生物信息分析平臺(tái)時(shí)，如果往往只是簡單應(yīng)用第一代、第二代的網(wǎng)絡(luò)安全技術(shù)，對(duì)于關(guān)鍵、重要的生物信息資源保護(hù)十分有限。國外已經(jīng)有一些科研機(jī)構(gòu)應(yīng)用入侵容忍技術(shù)對(duì)重要數(shù)據(jù)資源進(jìn)行保護(hù)，且取得了良好的效果。該文初步應(yīng)用了第三代網(wǎng)絡(luò)安全技術(shù)——入侵容忍技術(shù)，設(shè)計(jì)了生物信息分析平臺(tái)的應(yīng)用模型。下一步工作將要圍繞著模型核心組件與重配置策略進(jìn)行更深入的研究，同時(shí)研究生物信息分析系統(tǒng)的工作性能，利用仿真工具對(duì)平臺(tái)進(jìn)行相關(guān)功能測(cè)試。

參考文獻(xiàn)：

[1] 廖志華，諶容，陳敏，楊春賢.生物學(xué)信息數(shù)據(jù)庫簡介[J].生物學(xué)教學(xué)，2006（31）.

[2] Altschul S F，Gish W，Miller W，et al.Basic Local Alignment Search Tool[J].J. Mol. Biol， 1990，215：403-410.

[3] 周金華，朱濤，李紅雨，徐鋼，等.基于 WEB 頁面的生物信息學(xué)分析平臺(tái)的構(gòu)建及其應(yīng)用[J].中國現(xiàn)代醫(yī)學(xué)雜志，2006（16）：17.

[4] 周金華.基于 Web 頁面的生物信息學(xué)分析平臺(tái)的建立及其應(yīng)用[D].上海：華中科技大學(xué)碩士論文，2006.

[5] 陶雯.基于多級(jí)入侵容忍的數(shù)據(jù)庫安全模型[J].江蘇教育學(xué)院學(xué)報(bào)：自然科學(xué)版，2012（28）：4.

[6] 蘇忠，賴建榮，于斌，趙飛.入侵容忍系統(tǒng)及其關(guān)鍵機(jī)制[J].信息網(wǎng)絡(luò)安全，2012（5）.

[7] 龔榆桐.一種基于入侵容忍技術(shù)的Web服務(wù)器系統(tǒng)設(shè)計(jì)[J].現(xiàn)代計(jì)算機(jī)：專業(yè)版，2009（10）.