打錯字了
Coomno -> Common 才對

重點是微軟的作業系統的CC證書用一個奇怪的Assumptions去拿到，這個基於奇怪的Assumptions的認証的效力問題，而不是CC的價值問題。

一般採購看CC應該不會很詳細的去看裏面的假設，只會看EAL X等級來下規格，那在這種情況之下，採購到的伺服器不能連網路，不是很詭異嗎？

那個不是假設
你那篇文章裡有提到
寫法是 CAPP/EAL4 而不是只有 EAL4
而根據官方規格文件中節錄出來

<pre class="c" name="code">
The CAPP provides for a level of protection which is appropriate for an assumed non-hostile and well managed user community requiring protection against threats of inadvertent or casual attempts to breach the system security. The profile is not intended to be applicable to circumstances in which protection is required against determined attempts by hostile and well funded attackers to breach system security. The CAPP does not fully address the threats posed by malicious system development or administrative personnel. CAPP-conformant products are suitable for use in both commercial and gov
ernment environments.

可以看出來
他是針對「較安全的環境」(eg.內網)定義的安全標準
而不是站在大門外面要面對各種安全威脅的安全標準

簡單說
CAPP 只是 CC 裡的一小部份，不代表 CC
CAPP 不是寫給 server 用的認證

另外再提一點
CC 要求「新版本」就要重新驗證
所以
你應該在意的是
Windows 8 拿的是什麼 CC 認證
而不是 Windows 2000 的 CC 認證

我的理解是CAPP是Controlled Access Protection Profile，是假定在某些條件下才成立，所以基於假定之下的使用證書才有保障，也就是說你買防火牆，真拿賴打點火燒起來了，這防火牆應該沒責任吧。

現在正在看微軟給的其他server版的TC當中，我是覺得，就是說拿到證書，好像是那麼回事，可是實際上沒去讀完整個TC，也不見得有意義。

Sorry 不是TC，是ST。

詭異的是，當投標的標準要求是CAPP/EAL 4以上，Red Hat Enterprise Linux一樣也是有過認証，這樣兩個標準能夠拿來比較嗎？

極端的例子就是已知的Windows 2000，跟Red Hat Enterprise Linux比較，一樣都過CAPP/ELA 4。