Os modelos de segurança da informação servem como estruturas conceituais abstratas projetadas para mapear as políticas de segurança de uma organização em especificações técnicas executáveis pelo sistema operacional ou na comunicação entre sujeito e objeto. Eles estabelecem as regras fundamentais sobre como sujeitos (como usuários e processos) interagem com objetos (como arquivos e bancos de dados), garantindo que os pilares da segurança sejam mantidos de maneira rígida e previsível. Modelos clássicos como Bell-LaPadula, Biba, Clark-Wilson e Brewer-Nash constituem a base para a implementação da confidencialidade ou da integridade dentro de arquiteturas que exigem esses princípios fundamentais.
Os Modelos de Segurança (Security Models) são construídos sobre regras que necessitam ser implementadas para o alcance da segurança. Embora existam diversas abordagens, eles são essencialmente classificados em dois tipos principais: lattice-based ou rule-based.
O modelo lattice-based utiliza a analogia de uma escada, definindo limites superiores e inferiores bem delimitados para o fluxo de dados através de camadas hierárquicas bem estruturadas, permitindo movimentos específicos de subida e descida. Como exemplos proeminentes, podemos citar os modelos Bell-LaPadula e Biba. Já no modelo rule-based, são regras específicas e predefinidas que determinam como a segurança opera em todo o ambiente de forma global.

Às vezes, argumenta-se que os modelos lattice também fornecem regras e questiona-se por que não são considerados estritamente baseados em regras. A distinção reside no fato de que os modelos lattice-based realmente incluem regras, mas essas diretrizes estão restritas e vinculadas às fronteiras das camadas existentes dentro do próprio modelo hierárquico.
Bell-LaPadula Model
Por design, o modelo Bell-LaPadula previne o vazamento ou a transferência de informação classificada para um nível de credenciamento ou classificação de menor segurança, impedindo que sujeitos de nivel inferior acessem objetos de classificação superior. O objetivo principal do modelo é a manutenção estrita da confidencialidade, não endereçando nenhum outro aspecto da segurança do objeto, como a integridade ou a disponibilidade. Ele é regido por duas propriedades mandatórias principais e uma complementar:
- Simple Security Property (Propriedade de Segurança Simples): Estabelece o estado onde um sujeito não pode ler informações sensíveis classificadas em um nível acima do seu privilégio, regra resumida pelo conceito de no read-up. Isso impede de forma eficaz o fluxo não autorizado de dados de cima para baixo.
- Star Property (Propriedade de Estrela */*-Property): Determina o estado onde um sujeito operando em determinado nível de sensibilidade não pode escrever informações para um objeto que esteja em um nível inferior, conceito conhecido como no write-down. Essa regra evita o vazamento acidental ou malicioso de informações confidenciais para ambientes menos protegidos.
- Discretionary Security Property (Propriedade de Segurança Discreta): Complementando as duas premissas anteriores, utiliza uma matriz de acesso para permitir e personalizar permissões específicas entre sujeitos e objetos.

Como o Bell-LaPadula se concentra exclusivamente em impedir o acesso não autorizado a segredos, ele ignora completamente as modificações não autorizadas de dados. Isso pode permitir cenários perigosos onde informações de baixa integridade contaminem registros altamente classificados.
Biba Model
O objetivo central do modelo Biba é garantir que as informações permaneçam íntegras, confiáveis e totalmente protegidas contra modificações inadequadas por entidades de menor confiança. O Biba baseia-se na premissa de que todos os sujeitos e objetos devem possuir etiquetas de classificação (labels), pois a integridade e o nível de proteção do sistema são dependentes da classificação exata dos dados. Suas regras fundamentais são:
- Simple Integrity Property (Propriedade de Integridade Simples): Estabelece que um sujeito não pode ler dados ou objetos que estejam em um nível de integridade inferior ao seu, princípio conhecido como no read-down. Isso mitiga o risco de que processos de alta confiança consumam e sejam corrompidos por dados não confiáveis.
- Star Integrity Property (Propriedade de Integridade Estrela): Estipula que um sujeito não pode modificar ou escrever em um objeto que esteja em um nível maior de integridade que o seu, conceito conhecido como no write-up. Essa regra blinda os ativos críticos do sistema contra alterações feitas por usuários ou processos de menor privilégio.

Embora altamente robusto para ambientes industriais e militares onde a corrupção de dados é intolerável, o modelo Biba compartilha com o Bell-LaPadula a característica de ser rígido, focando apenas no controle de acesso baseado em níveis bem definidos e estáticos.
Information Flow
O fluxo de informação (information flow) refere-se ao movimento e à transferência de dados entre diferentes sujeitos, processos e objetos dentro de um sistema computacional ou de uma organização. No âmbito da segurança da informação, a análise desse fluxo é fundamental para garantir que dados confidenciais não transitem para ambientes de menor segurança e que informações não confiáveis não corrompam ativos críticos.
Os modelos de fluxo de informação, de natureza frequentemente matemática e lattice-based, estabelecem regras rígidas de direção para essa comunicação, mapeando caminhos autorizados e inspecionando tanto canais legítimos quanto canais ocultos (covert channels). Ao ditar de forma estrita como e para onde os dados podem se mover, esses modelos criam barreiras sistêmicas que preservam pilares essenciais como a confidencialidade e a integridade, impedindo vazamentos ou modificações indevidas antes mesmo que qualquer transação seja executada.
Clark-Wilson
O modelo Clark-Wilson é uma estrutura de segurança voltada essencialmente para o ambiente comercial corporativo, cujo objetivo central é garantir a integridade dos dados por meio de transações bem formadas (well-formed) e do princípio da separação de deveres (separation of duties).
Este modelo não requer o uso de uma estrutura lattice. Em vez disso, utiliza um relacionamento de três partes envolvendo o sujeito, o programa (ou transação) e o objeto. O sujeito nunca possui acesso direto ao objeto; a manipulação ocorre exclusivamente através do programa intermediário. Com foco total na integridade, o Clark-Wilson oferece maior proteção prática que o modelo Biba para o cenário corporativo, alcançando três objetivos principais:
- Prevenir que sujeitos não autorizados façam quaisquer mudanças (sendo este o único foco do modelo Biba).
- Prevenir que sujeitos autorizados façam mudanças ruins, indevidas ou cometam erros operacionais.
- Manter a consistência interna e externa do sistema.
Para atingir esses objetivos, o Clark-Wilson aplica suas três regras de integridade (rules of integrity):
- Validação de Dados: Os dados devem ser bons, consistentes e validados, realizando operações apenas de maneira que não comprometa a integridade dos objetos através de Procedimentos de Verificação de Integridade (IVPs).
- Separação de Deveres: Não se deve permitir que uma única pessoa execute todas as tarefas relacionadas a uma função crítica, dividindo as operações do sistema.
- Transações Bem Formadas: Um sujeito não pode acessar diretamente um objeto e deve passar obrigatoriamente por um Programa de Transformação (TP) que impõe as regras de acesso de negócios.

Brewer-Nash (Chinese Wall)
O principal objetivo do modelo Brewer-Nash é prevenir o conflito de interesses no acesso aos dados. Ele estipula e certifica que o fluxo de informações entre sujeitos e objetos aconteça dinamicamente, desde que a transação atual não gere esse tipo de conflito com base no histórico de acesso do usuário.
Para entender o modelo de forma simples, imagine uma grande agência de publicidade que atende diversas empresas do mercado. Essa agência possui uma divisão interna estrita para evitar que dados confidenciais vazem entre concorrentes diretos. Se a agência possui como clientes a Coca-Cola e a Pepsi, ambas pertencem à mesma classe de conflito, que é o setor de refrigerantes. Quando um publicitário da agência é escalado para trabalhar na campanha da Coca-Cola e abre o arquivo com a estratégia secreta dessa marca, o profissional fica permanentemente bloqueado pelo sistema de acessar qualquer dado, documento ou reunião que envolva a Pepsi.
O modelo é considerado dinâmico porque o acesso inicial do usuário altera e define o que ele pode ou não ver no futuro, permitindo que ele trabalhe com eficácia na Coca-Cola, mas garantindo que ele nunca tenha a oportunidade de usar informações privilegiadas para beneficiar ou prejudicar um concorrente direto. Essa barreira entre o acesso as informações é também chamada de muralha chinesa (chinese wall)
Referências
CHAPPLE, Mike; STEWART, James Michael; GIBSON, Darril. ISC2 CISSP Certified Information Systems Security Professional Official Study Guide. 10. ed. New Jersey: John Wiley & Sons, 2024.
WITCHER, Rob; BERTI, John; HABLAS,Lou; MITROPOULOS, Nick. Destination CISSP – A Concise Guide. 2. ed. Orlando, FL: Destination Certification INC, 2026.