圖書館的信息服務平台是開放在互聯網環境中的。數據傳輸采用TCP/IP協議，由於該協議采用明文傳輸，如果沒有專門的軟件或硬件對數據進行控製，所有的廣域網通信都將不受限製地進行傳輸，因此任何一個對通信進行監測的人都可以對通信數據進行截取。

②開放端口風險分析

圖書館的數字化信息通常是以Web站點的形式對外開放服務的，必須開放一些服務端口，同時係統的服務器一般存放在專門的服務器中心，管理人員需要對服務器進行操作基本都會采取遠程控製等手段，也必須開放一些服務端口和訪問權限，而在進行這些正常的數據交換時，賬號信息可能被中間者嗅探、破解，造成安全威脅。

③係統層安全風險分析

係統層的安全風險通常來自操作係統、數據庫係統等。現在圖書館的信息資源服務係統通常采用Windows server 2000或2003，數據庫係統也以SQL sever係列應用最為廣泛。由於這些係統本身在安全方麵就會存在這樣那樣的漏洞，造成整個係統極大的安全隱患。

④應用層安全風險分析

身份認證風險。服務係統登錄和主機登錄一般都是使用固定口令，甚至有時候很多人都是用同一種口令，且在數據庫中有存儲記錄，可重複使用。這樣非法用戶通過窮舉攻擊等手段往往很容易得到這種靜態口令，可對資源的安全造成嚴重威脅。甚至有的係統就一直使用默認的用戶名及密碼，比如admin等。Web服務漏洞。Web Server是目前圖書館信息係統服務主要的方式，入侵者可能利用服務的漏洞對服務器係統的正常工作加以破壞。DNS服務漏洞。DNS域名服務為網絡應用提供了極大的靈活性，但域名服務通常為黑客提供了入侵網絡的有用信息，如服務器的IP操作係統信息等。病毒侵害。網絡中一旦有主機感染病毒，則病毒程序完全可能在極短的時間被迅速擴散，傳播到網絡上的所有主機，可能造成信息泄漏、文件丟失、機器死機等不安全因素。

⑤管理層安全風險分析

設備的安全、網絡的安全、係統的安全都離不開人的管理，再好的安全策略最終要靠人來實現，因此管理是整個網絡安全中最為重要的一環，尤其是對於一個比較龐大和複雜安全體係設計的網絡，管理則顯得更為重要。因此，認真地分析管理所帶來的安全風險，並采取相應的安全措施是十分必要的。管理安全的風險可能有權責不明確、安全管理製度不健全等引起。比如外來人員可以進入網絡機房重地，或者員工泄漏他們所管理的安全問題上的重要信息，都是在管理上沒有明確的製度造成的。

3.圖書館信息係統安全技術體係

根據圖書館信息係統安全保障需要，把分離的、屬於不同層麵的技術，通過合理的篩選、組織和協調，形成一個信息安全體係，以最大程度地發揮技術在信息安全保障係統的作用。首先對圖書館信息係統進行全麵的風險評估，評估係統可能麵臨的各種威脅，通過確定信息係統提供的服務方式決定采取何種安全措施，再考慮技術實現上的成本因素，選擇合適的安全技術，從而集成各種應用廣泛的安全技術，形成一個比較全麵的安全係統。根據技術整合策略，把信息安全技術在不同的層麵使用，分別為實體安全技術、運行安全技術和數據安全技術。這三類技術單獨使用也能達到一定的安全防範效果，但是還無法全麵的保護圖書館信息係統的安全，本文選擇了三個層麵技術組合而形成的防禦係統，經過技術整合加以實施監控係統和應急響應係統，最後的保障是數據備份係統。