Bishop和Baily在1996年對(duì)信息安全漏洞給出了基于狀態(tài)空間的定義，認(rèn)為信息系統(tǒng)是由若干描述實(shí)體配置的當(dāng)前狀態(tài)所組成的，系統(tǒng)通過(guò)應(yīng)用程序的狀態(tài)轉(zhuǎn)變來(lái)改變系統(tǒng)的狀態(tài)， 通過(guò)系列授權(quán)和非授權(quán)的狀態(tài)轉(zhuǎn)變，所有的狀態(tài)都可以從給定的初始狀態(tài)到達(dá)。易受攻擊狀態(tài)是指通過(guò)授權(quán)的狀態(tài)轉(zhuǎn)變，從非授權(quán)狀態(tài)可以到達(dá)的授權(quán)狀態(tài)，受損狀態(tài)是指己完成這種轉(zhuǎn)變的狀態(tài)。攻擊就是指到達(dá)受損狀態(tài)的狀態(tài)轉(zhuǎn)變過(guò)程。從狀態(tài)空間角度來(lái)講，漏洞就是指區(qū)別于所有非受損狀態(tài)的容易受攻擊的狀態(tài)特征。通常地講，漏洞可以刻畫(huà)許多容易受攻擊的狀態(tài)。

給定一個(gè)系統(tǒng)，安全策略規(guī)定了其用戶哪些操作是允許的，哪些操作是不允許的。其形式化的定義為：給定狀態(tài)空間S=(M，T)，安全策略是狀態(tài)對(duì)P= (A，D)，其中，AcM是系統(tǒng)允許的狀態(tài)集合，D=IVI-A是系統(tǒng)不允許的狀態(tài)集合。那么基于安全策略的漏洞定義為： 漏洞是一個(gè)二元組V= (N，P)，其中N是一個(gè)非空的條件集合，滿足這些條件可導(dǎo)致違背某食系統(tǒng)x的安全策略P。因此，對(duì)應(yīng)于不同安全策略的違背，就形成了不同類型的漏洞。

由美國(guó)lVIITRE公司（一個(gè)由美國(guó)聯(lián)邦政府支持的非盈利性研究機(jī)構(gòu)）喂出了漏洞與披露的標(biāo)準(zhǔn)命名字典( CVE)。CVE對(duì)漏洞給出的定義也是基于安全策略的，即：一個(gè)錯(cuò)誤( mistake)如果可以被攻擊者用于違反目標(biāo)系統(tǒng)的一個(gè)合理的安全策略，那么它就是一個(gè)漏洞。一個(gè)漏洞可以使目標(biāo)系統(tǒng)（或者目標(biāo)系統(tǒng)的集合）處于下列危險(xiǎn)狀態(tài)之一：允許攻擊者以他人身份運(yùn)行命令；允許攻擊者違反訪問(wèn)控制策略去訪問(wèn)數(shù)據(jù)；允許攻擊者偽裝成另一個(gè)實(shí)體；允許攻擊者發(fā)起拒絕服務(wù)攻擊。