Bishop和Baily在1996年對信息安全漏洞給出了基于狀態空間的定義，認為信息系統是由若干描述實體配置的當前狀態所組成的，系統通過應用程序的狀態轉變來改變系統的狀態， 通過系列授權和非授權的狀態轉變，所有的狀態都可以從給定的初始狀態到達。易受攻擊狀態是指通過授權的狀態轉變，從非授權狀態可以到達的授權狀態，受損狀態是指己完成這種轉變的狀態。攻擊就是指到達受損狀態的狀態轉變過程。從狀態空間角度來講，漏洞就是指區別于所有非受損狀態的容易受攻擊的狀態特征。通常地講，漏洞可以刻畫許多容易受攻擊的狀態。

給定一個系統，安全策略規定了其用戶哪些操作是允許的，哪些操作是不允許的。其形式化的定義為：給定狀態空間S=(M，T)，安全策略是狀態對P= (A，D)，其中，AcM是系統允許的狀態集合，D=IVI-A是系統不允許的狀態集合。那么基于安全策略的漏洞定義為： 漏洞是一個二元組V= (N，P)，其中N是一個非空的條件集合，滿足這些條件可導致違背某食系統x的安全策略P。因此，對應于不同安全策略的違背，就形成了不同類型的漏洞。

由美國lVIITRE公司（一個由美國聯邦政府支持的非盈利性研究機構）喂出了漏洞與披露的標準命名字典( CVE)。CVE對漏洞給出的定義也是基于安全策略的，即：一個錯誤( mistake)如果可以被攻擊者用于違反目標系統的一個合理的安全策略，那么它就是一個漏洞。一個漏洞可以使目標系統（或者目標系統的集合）處于下列危險狀態之一：允許攻擊者以他人身份運行命令；允許攻擊者違反訪問控制策略去訪問數據；允許攻擊者偽裝成另一個實體；允許攻擊者發起拒絕服務攻擊。