1990年，Longstaff-人認為漏洞是指系統(tǒng)中存在的任何不足或缺陷。在計算機安全中， 漏洞可以從以下兩個方面來理解：一方面，漏洞是指自動化系統(tǒng)安全過程、管理控制以及內部控制等中的缺陷，它能夠被威脅利用，從而獲得對信息的非授權訪問或者破壞關鍵數(shù)據(jù)處理；另一方面，漏洞是指在物理層、組織管理、軟件程序或人員管理方面的缺陷，它能夠被利用而導致對系統(tǒng)的損害。

1999年，ISO/IEC15408對漏洞給出的定義是：漏洞是存在于評估對象(TOE)中的，在一定的環(huán)境條件下可能違反安全功能要求的弱點。2003年美國發(fā)布的信息系統(tǒng)安全詞匯表( NSTISSI N0.4009)給出的定義認為漏洞是指可被利用的信息系統(tǒng)、系統(tǒng)安全流程、內部控制或實施中存在的弱點。2006年美國家標準與技術研究院發(fā)布的《關鍵信息安全術語詞匯表》(NIsT IR 7298)定義漏洞是指威脅源可以攻擊或觸發(fā)的信息系統(tǒng)、系統(tǒng)安全流程、 內部控制或實施中的弱點。同年出版的《信息安全字典》中給出的定義，漏洞是系統(tǒng)安全流程、系統(tǒng)設計、實施、內部控制等過程中的弱點，這些弱點可以被攻擊以違反系統(tǒng)安全策略；攻擊或對威脅暴露的可能性特定于給定的平臺。2009年ISO/IEC SC 27發(fā)布的國際標準SD6: IT安全術語詞匯表》中給出的定義是，漏洞是一個或多個威脅可以利用的一個或一組資產(chǎn)的弱點；是違反某些環(huán)境中安全功能要求的評估對象( TOE)中的弱點；是在信息系統(tǒng)（包括其安全控制）或其環(huán)境的設計及實施中的缺陷、弱點或特性。

綜上所述，信息安全漏洞可以這樣理解，從生命周期的角度出發(fā)，信息技術、信息產(chǎn)品和信息系統(tǒng)在需求、設計、實現(xiàn)、配置、維護和使用等過程中，有意或無意產(chǎn)生的缺陷，這些缺陷一旦被惡意主體所利用，就會造成對信息產(chǎn)品或系統(tǒng)的安全損害，從而影響構建于信息產(chǎn)品或系統(tǒng)之上正常服務的運行，危害信息產(chǎn)品或系統(tǒng)及信息的安全屬性。

有時漏洞也被稱作錯誤( Error)、缺陷(Fault)、弱點(Weakness)、或是故障( Failure)等，這些術語很容易引起混淆。在許多情況下，人們習慣于將錯誤、缺陷、弱點都簡單地稱為漏洞。需要指出的是，嚴格地說，錯誤、缺陷、弱點和故障并不等于漏洞。錯誤、缺陷和弱點是產(chǎn)生漏洞的條件，漏洞被利用后必然會破壞安全屬性，但不一定能引起產(chǎn)品或系統(tǒng)故障。