1990年，Longstaff-人認(rèn)為漏洞是指系統(tǒng)中存在的任何不足或缺陷。在計(jì)算機(jī)安全中， 漏洞可以從以下兩個(gè)方面來理解：一方面，漏洞是指自動(dòng)化系統(tǒng)安全過程、管理控制以及內(nèi)部控制等中的缺陷，它能夠被威脅利用，從而獲得對(duì)信息的非授權(quán)訪問或者破壞關(guān)鍵數(shù)據(jù)處理；另一方面，漏洞是指在物理層、組織管理、軟件程序或人員管理方面的缺陷，它能夠被利用而導(dǎo)致對(duì)系統(tǒng)的損害。

1999年，ISO/IEC15408對(duì)漏洞給出的定義是：漏洞是存在于評(píng)估對(duì)象(TOE)中的，在一定的環(huán)境條件下可能違反安全功能要求的弱點(diǎn)。2003年美國(guó)發(fā)布的信息系統(tǒng)安全詞匯表( NSTISSI N0.4009)給出的定義認(rèn)為漏洞是指可被利用的信息系統(tǒng)、系統(tǒng)安全流程、內(nèi)部控制或?qū)嵤┲写嬖诘娜觞c(diǎn)。2006年美國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布的《關(guān)鍵信息安全術(shù)語詞匯表》(NIsT IR 7298)定義漏洞是指威脅源可以攻擊或觸發(fā)的信息系統(tǒng)、系統(tǒng)安全流程、 內(nèi)部控制或?qū)嵤┲械娜觞c(diǎn)。同年出版的《信息安全字典》中給出的定義，漏洞是系統(tǒng)安全流程、系統(tǒng)設(shè)計(jì)、實(shí)施、內(nèi)部控制等過程中的弱點(diǎn)，這些弱點(diǎn)可以被攻擊以違反系統(tǒng)安全策略；攻擊或?qū)ν{暴露的可能性特定于給定的平臺(tái)。2009年ISO/IEC SC 27發(fā)布的國(guó)際標(biāo)準(zhǔn)SD6: IT安全術(shù)語詞匯表》中給出的定義是，漏洞是一個(gè)或多個(gè)威脅可以利用的一個(gè)或一組資產(chǎn)的弱點(diǎn)；是違反某些環(huán)境中安全功能要求的評(píng)估對(duì)象( TOE)中的弱點(diǎn)；是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設(shè)計(jì)及實(shí)施中的缺陷、弱點(diǎn)或特性。

綜上所述，信息安全漏洞可以這樣理解，從生命周期的角度出發(fā)，信息技術(shù)、信息產(chǎn)品和信息系統(tǒng)在需求、設(shè)計(jì)、實(shí)現(xiàn)、配置、維護(hù)和使用等過程中，有意或無意產(chǎn)生的缺陷，這些缺陷一旦被惡意主體所利用，就會(huì)造成對(duì)信息產(chǎn)品或系統(tǒng)的安全損害，從而影響構(gòu)建于信息產(chǎn)品或系統(tǒng)之上正常服務(wù)的運(yùn)行，危害信息產(chǎn)品或系統(tǒng)及信息的安全屬性。

有時(shí)漏洞也被稱作錯(cuò)誤( Error)、缺陷(Fault)、弱點(diǎn)(Weakness)、或是故障( Failure)等，這些術(shù)語很容易引起混淆。在許多情況下，人們習(xí)慣于將錯(cuò)誤、缺陷、弱點(diǎn)都簡(jiǎn)單地稱為漏洞。需要指出的是，嚴(yán)格地說，錯(cuò)誤、缺陷、弱點(diǎn)和故障并不等于漏洞。錯(cuò)誤、缺陷和弱點(diǎn)是產(chǎn)生漏洞的條件，漏洞被利用后必然會(huì)破壞安全屬性，但不一定能引起產(chǎn)品或系統(tǒng)故障。