C1 e C2 sono solo termini del Orange Book per i livelli di protezione (dove C2 ha più sicurezza di C1) . Puoi leggere le definizioni attuali online in TCSE stesso:
Ecco qui:
Class (C1): Discretionary Security Protection
The Trusted Computing Base (TCB) of a class (C1) system nominally
satisfies the discretionary security requirements by providing separation of
users and data. It incorporates some form of credible controls capable of
enforcing access limitations on an individual basis, i.e., ostensibly suitable
for allowing users to be able to protect project or private information
and to keep other users from accidentally reading or destroying their data.
The class (C1) environment is expected to be one of cooperating users
processing data at the same level(s) of sensitivity.
Class (C2): Controlled Access Protection
Systems in this class enforce a more finely grained discretionary
access control than (C1) systems, making users individually accountable for
their actions through login procedures, auditing of security-relevant
events, and resource isolation.
Quindi C2 è un superset di C1, che esegue una registrazione aggiuntiva e un controllo di accesso a grana più fine (ad esempio, non ci sarebbe un accesso di gruppo - gli accessi sarebbero individuali).
Inoltre, questi termini (C1 e C2) sono più ampi della semplice sicurezza del database; si riferiscono davvero alla sicurezza di un intero ambiente di elaborazione.