Trong giai đoạn này, các yêu cầu và các chính sách an toàn (được định nghĩa trong giai đoạn trước đó) được hình thức hoá khái niệm. "Khái niệm" ở đây có nghĩa là chúng ta chưa quan tâm đến các chi tiết thực hiện. Đúng hơn là tập trung vào các khía cạnh ngữ nghĩa, tách bạch giữa các chính sách và các cơ chế. Mô hình an toàn khái niệm là một công cụ và nó được sử dụng cho việc
hình thức hoá các yêu cầu và các chính sách.
Một mô hình an toàn khái niệm được định nghĩa thông qua:
• Nhận dạng các chủ thể và các đối tượng liên quan đến một quan điểm an toàn; Các chủ thể/đối tượng có chung một vai trò trong tổ chức được nhóm lại với nhau;
• Nhận dạng các chế độ truy nhập được trao cho các chủ thể khác nhau trên các đối tượng khác nhau; Nhận ra các ràng buộc có thể trên truy nhập.
• Phân tích việc thừa kế các quyền trên hệ thống, thông qua các đặc quyền trao/thu hồi. Phân tích này đặc biệt liên quan đến việc kiểm tra xem nguyên tắc đặc quyền tối thiểu có được tôn trọng hay không.
Từ các bước như trên, các yêu cầu được biểu diễn thành các bộ bốn, như sau: {subject, access right, objects, predicate}, trong đó tân từ (predicate) miêu tả các điều kiện truy nhập có thể. Các bộ bốn này biểu diễn các nguyên tắc truy nhập.
Các đặc trưng cơ bản của một mô hình an toàn khái niệm nên bao gồm:
• Biểu diễn các ngữ nghĩa của an toàn cơ sở dữ liệu. Điều này có nghĩa là tính bí mật và tính toàn vẹn của một mục dữ liệu được thể hiện trong các phạm vi của thông tin có trong mục này, phương thức sử dụng nó và mối quan hệ với các mục khác, bắt nguồn từ những thông tin thực tế mà mục dữ liệu này biểu diễn.
• Hỗ trợ việc phân tích các luồng quyền, có nghĩa là phân tích các kết quả khi trao/thu hồi quyền.
• Hỗ trợ người quản trị cơ sở dữ liệu, cho phép anh ta đưa ra các câu truy vấn trên tình trạng quyền hiện thời và kiểm tra các kết quả xảy ra do các thay đổi trên quyền. Tại mức khái niệm, các kiểm tra này dễ thực hiện hơn, so với tại mức cơ chế an toàn.
Mô hình ánh xạ các yêu cầu phi hình thức vào các nguyên tắc an toàn. Mô hình an toàn khái niệm cho phép biểu diễn tường minh các yêu cầu và các chính sách, đồng thời cho phép kiểm tra một số đặc tính của hệ thống an toàn.
Theo bộ tiêu chuẩn DoD, các mức phân loại hệ thống an toàn cao yêu cầu định nghĩa một mô hình cho hệ thống an toàn; Mô hình nên có một cấu trúc duy nhất, cấu trúc này tập hợp được tất cả các đặc tính của hệ thống và đảm bảo hỗ trợ hiệu quả cho các giai đoạn thiết kế, phê chuẩn và tổng hợp tài liệu sau này.
Mô hình an toàn khái niệm biểu diễn các chủ thể, các đối tượng, các phép toán và các chế độ truy nhập được trao, tuỳ thuộc vào các chính sách đã được định nghĩa. Mô hình của một hệ thống xác định phải như sau:
• Đầy đủ (complete): Mô hình đáp ứng được tất cả các yêu cầu an toàn đã được xác định ban đầu.
• Tương thích (consistent): Trong một hệ thống vẫn xảy ra sự không nhất quán, chẳng hạn như một người sử dụng trái phép không thể truy nhập trực tiếp vào một đối tượng, nhưng có thể đến được đối tượng thông qua đường dẫn khác, hoặc thông qua một loạt các phép toán. Trong trường hợp này, không gì có thể đảm bảo rằng các hoạt động được thực hiện trong hệ thống là các hoạt động được phép.
Mô hình phải đảm bảo rằng tất cả các yêu cầu được xác định, không mâu thuẫn với nhau và không tồn tại tình trạng dư thừa. Các mâu thuẫn và/hoặc sự không rõ ràng trong các yêu cầu có thể được giải quyết, bằng cách tham khảo các nguyên tắc đã được biểu diễn trong các chính sách an toàn.
(Chính sách an toàn => Nguyên tắc an toàn (theo ngôn ngữ hình thức) => Mô hình khái niệm an toàn =>Mô hình logic an toàn=> Mô hình vật lý an toàn => Cơ chế an toàn) (security model)
Hiện có rất nhiều mô hình an toàn, nhưng chúng vẫn chưa hoàn toàn tuân theo các yêu cầu dành cho một mô hình an toàn. Nguyên nhân là do việc lựa chọn các mô hình thường liên quan đến các vấn đề an toàn. Các mô hình có thể trừu tượng hoặc cụ thể, tuỳ thuộc vào việc sử dụng chúng cho các mục đích như: để chứng minh các đặc tính của hệ thống, hay chỉ là một hướng dẫn phát triển dành cho các hệ thống an toàn. Người ta cũng có thể kết hợp các mô hình thích hợp nhất, nhằm đưa ra một mô hình cơ bản đáp ứng được các yêu cầu ban đầu.Tuy nhiên, quá trình kết hợp các mô hình an toàn có thể gây ra tình trạng mất một số đặc tính an toàn của các mô hình tham gia. Chính vì vậy, chúng ta cần phê chuẩn và kiểm tra trước khi đưa ra mô hình cuối cùng.
Nói chung, việc chọn lựa các mô hình tuỳ thuộc vào kiểu của hệ thống, có nghĩa là kiểu của tài nguyên được bảo vệ; Nó cũng phụ thuộc vào các kiểm tra hình thức (các kiểm tra này đã được dự tính trước cho hệ thống).