En los setentas, la fuerza militar estadounidense usaba tiempo compartido en sistemas de información que radicaban en un mainframe. Debido a esto, este modelo fue desarrollado para poder resolver los problemas que surgian al compartir un equipo: prevenir que la información secreta sea accedida por de una manera no autorizada. El modelo de Bell-LaPadula está involucrado con el flujo de la información. Según este modelo, la información sólo puede fluir de un nivel de alta seguridad a uno de menor seguridad. Oficialmente, es el primer modelo matemático de políticas de seguridad multinivel.

Los sistemas que utilizan el modelo de Bell-LaPadula son denominados sistemas de seguridad multinivel porque usuarios con diferentes privilegios utilizan el sistema y el sistema procesa datos con diferentes clasificaciones. Los niveles a que la información debe ser etiquetada determina los procedimientos que se toman.

Este modelo está basado en la máquina de estados, reforza la confidencialidad en cuestiones de control de acceso. Una matrix de control de acceso y niveles de seguridad es utilizada para determinar si el sujeto tiene permisos hacia los diferentes objetos. El nivel de seguridad del objeto es comparado contra el nivel del objeto; si el nivel del objeto es mayor o igual el acceso es permitido sin violación de la política de seguridad.

Bell-LaPadula utiliza sujetos, objetos, operaciones de acceso (lectura, escritura o ambos) y niveles de seguridad. Los sujetos yobjetos pueden recidir en diferentes niveles de seguridad y se relacionan entre sí; las reglas dictan qué actividades son aceptadas entre ellos. Los flujos de información son definidos por el conjutno de reglas.

Matemáticamente se puede representar por:

• f() es la función de acceso,
• s y o son el sujeto y objeto respectivamente,
• {r} y {w} son las acciones de lectura y escritura respectivamente

Tanto el modelo de Bell-LaPadula y Biba (que se verá mas adelante) contienen tres tipos de propiedades: Simple, Estrella (star) y Estrella fuerte (strong star).

Gráficamente se puede ver así:

Asumiendo que existen tres niveles de secrecía, el modelo de Bell-LaPadula dicta que la lectura de datos sólo puede ser realizada si la información fluye de un nivel de menor secrecía hacia uno mayor. De la misma forma, la escritura se puede realizar si viene de un nivel menor. Las tres propiedades entonces se explican así:

• Propiedad simple: si el sujeto tiene capacidades de lectura, la lectura se puede realizar si el objeto tiene asociado un nivel menor de secrecía y está prohibida si la lectura se efectúa con un objeto de mayor nivel; esta acción implica la lectura de secretos.
• Propiedad estrella: si el sujeto tiene capacidades de lectura, los datos pueden ser escritos sólo si el objeto tiene un nivel de secrecía mayor sin que se comprometa su valor. En caso de que el nivivel asociado sea menor, esta acción está prohibida; la divulgación de secretos es la acción de violación en esta propiedad.
• Estrella fuerte: si el sujeto tiene ambas capacidades (lectura y escritura) sólo los datos pueden ser leidos y escritos al mismo nivel de secrecía.