Zpět na o něco vyšší úroveň, model ochran založený na zmiňované tabulce má jeden vážný nedostatek, totiž není z něj jasně patrné co a jak bude chránit. Je zřejmé, že práva budou tranzitivní, ale bohužel pokud nejsou k dispozici informace o výměně informací mezi aktivitami, což zpravidla nejsou, není rozhodnutelné, zda může existovat posloupnost akcí dovolující v konečném efektu aktivitě nějakou akci.

Proto se vymýšlejí ještě jiné modely. Další z klasických je založený na security levels a integrity levels. Aktivity mají clearances, data mají classes. Řekne se, že není přípustné číst informace z vyšších security classes než máme clearances ani zapisovat informace do nižších security classes než máme clearances, a podobně že není přípustné zapisovat informace do vyšších integrity classes, ani číst informace z nižších integrity classes.

Tohle má ovšem jiný problém, totiž k dokonalé implementaci by bylo potřeba sledovat každý bit informace, což by bylo nákladné, a tedy se používají zjednodušení. Ta ovšem nesmí porušit security ani integrity, a tak jsou raději pesimističtější. Výsledkem toho je pozvolný drift dat do vyšších security a nižších integrity classes.