通过明确指定实现安全策略所必需的数据结构和技术,安全模型将安全策略的抽象目标映射到信息系统的具体内容上,安全模型通常以数学和分析的理念来表示,然后映射到系统的规范说明上,再由编程人员通过编写代码开发出来。因此,我们就有了实现诸如"每个主体必须经过授权才能访问每个客体"之类的安全目标的策略。安全模型采纳这些需求,并且提供要达到这个目标所必须遵循的数学公式、关系和结构。
安全策略只是勾勒出目标,却没有就如何实现目标给出任何思路。安全模型则是一个架构,它给出了策略的形式,并且解决了特殊情况下的安全问题。人们已经开发出了几种安全模型,用以实施安全策略。
20世纪70年代,美国军方使用了采用分时系统的大型主机,他们需要知道这些系统的安全性,以及分类信息是否会泄漏出去。于是,Bell-LaPadula 模型被开发出来解决这个问题。它是多级安全策略的第一个算术模型,用于定义安全状态机的概念、访问的模式以及概述访问的规则。采用Bell-LaPadula模型的系统之所以被称为多级安全系统,是因为使用这个系统的用户具有不同的许可,而且系统处理的数据也具有不同的分类。
Bell-LaPadula模型的开发是为了确保秘密被保密;因此,它仅仅提供和解决了机密性。该模型不能解决系统维护的数据完整性——只有谁能够访问和无法访问数据,以及可以执行哪些操作。
Bell-LaPadula模型中使用和实施了3种主要的规则: