En mi conferencia sobre métodos formales en seguridad de TI, así como en Wikipedia, se afirma que el modelo BLP es un modelo de control de acceso obligatorio. No me queda claro por qué este es el caso.
Hemos definido los modelos de control de acceso obligatorios como aquellos donde las modificaciones están restringidas. No veo por qué este es el caso aquí. Tenemos propiedades de seguridad (ss-propiedad, * -propiedad y ds-propiedad) que restringen el conjunto de estados de protección a un conjunto de estados de protección de BLP-seguro, sin embargo, es posible definir un sistema de BLP cuya relación de transición permita transiciones en esos indica, entonces el sistema simplemente ya no es BLP-seguro.