【IT168 专稿】随着企业不断发展壮大，IT基础架构也必须相应地进行扩展和调整，然而，系统复杂程度和维护成本不断提高，并且受制于日益增长的业务需求。IT基础架构与战略业务需求之间往往缺乏协调性，因而企业很难从技术投资中获取最大价值。那么我们如何顺应企业的这种变化，最大地提升企业的IT价值呢？微软大中华区IT营运总监林伟华先生接受了IT168记者的采访，谈到了如何利用现有的平台，以及微软Core IO如何使IT架构同企业战略的有效结合，助力企业业务的增长。

  我们知道，企业基础架构有三个方面，Core IO、APIO和BPIO。为什么有CORE IO？通常企业面对的IT问题有：第一，IT管理越来越复杂，十年前可能一个IT管理员或IT经理，出一个报告给CEO看看业务运行状况，然而今天已经不是这样了。 CIO、IT主管和IT Administrator（管理员）管理IT的范围越来越大，越来越复杂。对于大型企业来说，复杂的环境，管理是最头疼的问题。第二，企业的花费。企业需要大量的资金放在管理和运维上。一个公司中，运营成本在（预算）中所占比例有非常大的增长。但如果把钱都花在运维，那项目怎么办，新的应用怎么办，这也是今天企业面临的挑战。第三，Security（安全），以前没有那些病毒攻击我们的IT运维系统，但是今天的手法越来越厉害，所以CIO和IT管理员还要花很多时间在这上面。

Core IO帮企业把IT变成一个市场

  Core IO的模型帮企业改变，帮企业把IT变成一个市场，然后交给业务管理层。IT除了能够解决我们每天面对的问题以外，还可以帮助企业业务增长的更快。从头痛医头到领先一步，这就是Core IO模型。林伟华先生为我们讲解了四个最重点的步骤，能够更迎合运维系统的要求。

  林伟华先生介绍说：微软IT的作业环境，是一个超大的企业级。具有类似作业环境的企业是很多，尤其是在中国。我们如何在这么大的作业环境里面帮助公司逐步的增长。我还记得我刚到微软的时候。微软只有4万个企业用户。你可以看到到今天为止我们已经达到了接近18万用户了。过去十年以内它是以翻倍的增长。可是我们的IT人员并不是以倍数的增长来增加的。我们IT的人员基本上是没什么增长的，我们每一年都逐步的提高生产率，我们的效率。我们如何提高生产率和效率呢？基础架构对我们是非常非常的重要。要不我们根本没办法支持从当初的60几个国家、200多个办公室到今天的440多个全球站点的办公室这样的规模。

  在企业工作内部，员工也会造成破坏。微软通过基础架构和优化创立了一个机制，当内部如果有人想搞破坏的话也不容易作出一些攻击。在微软的作业环境里面，我们的用户有一些是开发人员，包括开发Windows的人员，你可以想像他可能都能找到一些漏洞来破坏我们的架构。可是他们做不了，就是我们用了Windows非常扎实的一个操作系统，还有Windows的PKI来保障我们的安全。

  当然常常有人这么说，你越要提高效率，你的安全越没有保障。这也是企业常常面临非常大的挑战，可是在微软里面，我们这两个都要取得非常好的平衡。我们在保障信息安全的时候，我们的信息安全也能够为我们的用户提高更高的生产率。在微软里面你也看到微软的员工技术背景非常的广阔。我们有非常高科技，对技术非常扎实的员工，也有普通的办公室员工。我之前有遇到我们的办公室员工，也有一些刚进来微软，不会用鼠标的。你们觉得很神奇，我也是这样觉得。所以那个技术背景是很广泛的，我们支持系统的时候，必须要有一套系统真的能够维护，让他们更好的使用，不管它是怎么样的背景。

  在微软里面你看到我们有那么多的站点，我们的移动性是非常的棒，一般我们的员工都需要出差，北京员工可能到杭州或者到深圳工作，所以他们都是移动性非常大，我们给他的保障就是他在任何的地点，任何一个地方都能够上线，都能够登录.当然我们在微软内部比其他企业有一个更不同的地方，我们必须在产品没发布之前就完成测试工作，不单单是测试，我们还把它推广到我们的用户层面去，所以它给我们的挑战是更大的。比如Vista在Beta的时候就在微软内部使用了，是在用户端，不是IT端使用，这样也逐步提高了我们产品的质量。
 

Core IO如何迎合运维系统的要求

  关于四个重要的部分，林伟华先生进行了详细的介绍。首先谈的是身份和访问管理的方面。大家都知道每个公司里面都有这两个重要的部门。很多时候部门的经理有人员的需求，人力资源需求的时候他就会去找人力资源部。他就需要在线帐号管理工具里面设置。在微软里面我们已经把这个自动化了，如果是部门经理，他可以去到人事资源管理工具里面填一个需求，人力资源部就能够知道他有一个这样的需求。人力资源部考核之后，觉得人力资源需求是合理的，就会由人力资源发用户帐号请求到帐号信息管理组，这才来到IT。

  来到IT之后我们其实是通过AD活动目录就把它创建起来。这一创建起来刚开始我提到的1800个应用程序就根据他能够加入的SG，就把它加入在里面，新的帐号和密码也很快的设置出来，然后就会通过加密邮件，而不是一个普通的邮件。别人开不了，看不了，只有这个部门经理能够看的。你可以把整个的人力资源流程也简化了。加密的邮件里面是不能转发的，也不能打印。所以部门经理在保障安全的时候也能够有更好的保障。

  我们在身份管理方面我们应用了“强密码”。在微软里面这些通过活动目录的设置，我们  是能够把这些强密码给强化的。你可以看到，你不能够用常用的词语，也不能够用名字。强密码是不能够随意设置的。我们自己每个人都身有体会，每60天要换计算机的密码，每次密码要求非常的高，必须有字母，必须有大写，必须有数字。这其实从某种角度上真的是说，企业现在这种IT信息安全非常的重要，这种密码的作用我自己觉得非常有必要。
   
  讲一个例子。微软有开发人员。这里面其实有一个漏洞。我们说你不能够重新换你的密码，起初的时候在很多年前，八九年前的时候，我们说你不能够重用你过去8次的密码。你想想看这里面有非常好的天才，他就写了一个程序，自动化的把他的密码刷过一遍，8回，就拿回原本喜欢用的密码。给我们发现到了。我们在AD里面，AD 在 Windows 2003的时候就来了更加强制性的执行，改成24回，因为改8回、16回对他是没有意义的，他是开发人员，对他太容易了。只要写几个口令就能改。改到24回他还是有办法，那我们怎么办呢？我们在AD系统里面让你在同一天内不能改两回。不能改两回的时候，没法刷了，不要紧，如果你尝试改两回会怎么样吗？你的部门经理会知道，自动化。马上就会知道你的部门里面某某人想尝试改这个强密码。所以你可以看到内部的黑客如果想要搞破坏也没那么容易了。这是活动目录非常优秀的地方。

  活动目录还有一些可持续性，可利用性，就是刚才我提到的自动化管理。

  桌面管理的时候，基本上我们的桌面管理是自动化。在以前要打补丁，我们是有一个程序来把它自动化，我们通过SCCM(System Center Configuration Manager)。能够把我们每一台机器给自动化，自动打补丁。所以在任何时刻我们都能知道我们的作业环境里面，会不会受到信息保障安全的隐患，我们都能够很快知道。我们在应用程序虚拟化方面，也让我们的内部用户能够用Terminal Server,还有Application Virtualization，最新的版本让我们登录一些应用程序，所以桌面管理对我们来说是非常的容易，基本上是不需要我们的用户装了很多应用程序在他的机器里面，这对我们的管理非常好。我们能够上线下一个操作系统的时候，这整个生态系统就变得很容易了。所以我们在上Vista的时候，我们大中华区只用了四个月。就是有这样一个桌面管理模式，让我们能够很快的把它做出来。

  谈到SCCM，软件更新周期。它只是一个技术，如果你没有流程管理的话也不到位。所以流程管理的方面我们就创建了，每个月的软件更新的程序，或者叫流程。这流程是怎么做呢？我们在每一个月的第二个星期二，公司业务比较不忙的，不是在月尾结帐的时候，每个员工需要忙的时候做补丁的，而是在第二周的第二个星期二我们开始流程，把我们的修补层次全部放出去。你可以看到大约在14天内，我们基本上已经达到90%了。为什么这个很重要呢？这个数据给你一个概念，如果能够在这14天内把这个程序给打完之后，你公司的IT作业环境就安全了。所以这是很实在的。因为他已经达到标准了，包括他的防病毒、IE、Office、Windows都做好了，自动化给他了，所以是很安全的。我们在非常紧急的时候，SCCM可以让我们在24小时内强制性的把软件更新。所以这也是让我们的信息安全保障提升了很多。所以对桌面管理是特别有助力的。这只是一个图，我们可以让你看到，它可以非常强制性的，或者让用户有个选择性的时间来打修补层次。基本上不紧迫的层次让用户有个时间，根据他工作的需求，还有他忙不忙的时候，在不忙的时候打也可以的。

  我们用SCCM在桌面管理你可以看到，我们在任何时刻，几年前和目前一些新的病毒，有一些新病毒进来之前我们就知道了，为什么呢？因为我们跟反病毒软件公司是有协议的，在少于24小时内就会通报我们。我们知道之后能做些什么呢？我们可以用SCCM看到这些病毒是根据哪一个软体、软件版本的号码，因为很多软件有版本号码来看的。我们用SCCM看到我们有多少机器百分比是能够达到标准的，让我们能够宏观来看，我们整个作业环境里面的安全性。基本上如果达到95%，这个病毒是没办法侵入微软的，这是很实在的做法，很优秀的做法，用SCCM。

  当我们谈到标准化、自动化、集中化管理，实际是指可以为我们减少的运维成本。如果每一个实践都能做的，那为公司所带来的节约是庞大的。林伟华先生说：如果你看到我们有20万台机器的时候，那个效益是数以千万计美元的。基本上我们做基础架构的时候，微软IT也好，尤其是从2003年到2006年或者2007年的那个阶段，我们为公司通过基础架构优化里面，节约了1亿美元。当然我的工资还有逐步增长的空间，还是好一点的。并不是把这优化的过程当中，让员工人数减少，没有。员工人数没被减少，生产力提高，IT的效率又增强，又为公司节约成本，这就是我们所想要看到的状况。
 

信息管理安全  

  林伟华先生介绍了信息管理安全，他说：微软基本上用Windows，Windows里面有活动目录，它也有PKI系统。这个PKI在我们企业里用的淋漓尽致是有几个方面的。打个比方，网络隔离。在2003的版本，或者2000的时候都能够做网络隔离了。我指的是Windows Server 2003。所以你看到Windows Server 2003的时候能够做有限制的隔离，可是这个隔离是有代价的，虽然你保障了整个企业的安全，我们从内部的实践里看到，我们每当把一个用户，因为他不达标的时候把他隔离的时候，他是损失了多少分钟的生产力，37分钟。企业的整体安全是保障了，所以你看到如果微软IT能够往动态化方面来着手的话。

  我们基本上是要用Windows Server 2008的版本跟Vista要结合，这两个用就用NAP（Network Access Protection）。这个时候我们会怎么做隔离呢？隔离方法是不一样的。是把用户带入虚拟的网络里面，打修补程序之后确定达到标准之后再把它带入公司的作业环境。当然你看到在桌面做的时候是不知道的，只是不能够运用网上的资源，在几分钟，或者十几分钟内，直到修补程序进行完之后才能够进入，这个过程有 时候不会察觉，也不会影响。对他的生产力影响也不是太大，跟我之前所说的37分钟。我们之前所做的网络隔离每个月为什么会知道呢？因为我们每个月隔离了1万个用户。后来我们做了修改把它降到了每个月2700个用户。在Windows Server 2008，这2700又免了，所以看到效率又提高了。

  我们也有用Windows Server里面通过跟Office的结合可以把邮件加密，让邮件安全信息更好的传递。我们也有用Windows来做安全文件共享和授权管理的模式，我们也可以通过SharePoint，SharePoint是必须通过活动目录的支持的，如果用底下基础目录支持SharePoint，你的SharePoint邮件共享管理是可以自动化，是可以自动管理的。如果一个公司把活动目录用到淋漓尽致的时候你可以用到不同的好处。Windows里面也有审计和监察的功能。ACS（Audit collection system）是根据Windows配套来的。而这个Audit collection system里面，也能够让我们自动的扫描、分析，动态化的助动化的分析是不是有安全性的隐患，这也是非常大的一个助力。

如何最大化系统管理的投资

  关于如何最大化系统管理的投资，主要是在备份这个方面。林伟华先生说：“在汶川地震的时候我们都在办公室，地震第一点就是想逃，我们在逃下去之后后来我们说我们到底是做IT的人，我们第一个要保障的是什么？数据安全。我们也不知道地震还会不会再来。后来我们要打电话的时候，打去上海打不通，打到成都也打不通。结果是通过台湾海峡两岸，另一岸台湾的经理打电话到成都帮我连线上去的。在这个过程当中我们想说什么呢？第一个是人身是不是安全，人安全之后我们看数据是不是安全，所以我们看数据安全的时候我们就说，还好，我们有Data Protection Manager，Windows基础架构里的备份。Data Protection Manager我们已经用了两年。在新加坡有一个数据中心，我们用Data Protection Manager的时候，我们把北京、成都、上海、广州的备份拉到新加坡去的，是通过网上备份的，不是用北京里面出了一个很大的tape library备份，不在网络负荷非常大的状况下，能够把北京的数据给备份。所以在当时我们就启动了一个机制，打电话去全球数据管理中心，说因为我们发生了地震，你马上给我们启动这个备份。结果在八个小时内，我们把全中国的备份都做完了。我们在谈到这个的时候，你可以看到我们的财务部，我们的管理层对我们说，你们做的特别好。因为在当时我们天天都在开会，汶川地震大家天天在开会，这个是不是得到保障，人是不是好。我们客户的讯息是不是能够得到安全，我们的客户是不是好的。我们天天都在讨论，我们天天打汇报的时候告诉我们的管理层，这些备份你都不需要担心，在当时我们财务部在做年度预算的时候，那个时候数据的安全对他们太重要了。任何一个时刻的数据安全都太重要，我们把它保住了。就是因为我们用了这个产品，所以我们很自豪。”
 

虚拟化带来简化、动态的IT基础架构

  虚拟化也给我们带来一些助力。林伟华先生说： ITIL是不是比较复杂？现在想谈谈MOF。这个比较简单，我们把它简单化让大家都容易用。简化版都能够达到99.999%，并不是简化之后就达不到质量，不是的。在这里面你可以看到，服务等级的管理、容量管理、可用性管理、财务管理都能够通过我们目前System Center能够体现。打个比方，Windows Server 2008虚拟化技术，以前我们做应用程序虚拟化的时候是不能够动态处理的，在Windows Server 2008有了之后，我们已经有超过25%的服务器已经走向了虚拟化的阶段。在今年年底我们想要达到50%的目标。

  它对我们会有什么助力呢？打个比方，以前我们有个应用程序，或者要更新的时候，基本说我们会跟我们的用户说，你等三个月吧，因为我们要去买机器，我们要测试，也不完全能够做得到。我们用了这个虚拟化的运维方式的时候，基本说是我们不需要三个月了。我们在两周之内就能够把硬件和软件都配合起来，就能够通过Virtual Machine Manager利用Hyper-V把数据创建起来，所以容量管理的时候可以动态式的转移，如果虚拟化的服务器不胜负荷的时候我们也能够知道，我们可以通过Virtual Machine Manager把它动态式的转移，不会影响到用户的运作环境。

  你看到在变更式管理的时候，我们基本上用的比较多的是System Center Configuration Manager，配置发布，我们有1000多台机器在一天之内能够变更管理。我们创建流程的时候我们也创建一个小组，叫做全球变更管理中心，在印度海德拉巴。这个小组只有20几个人。通过SCCM在三天之内把8000个服务器给更新了，就是因为有自动化的运营方式。以前是用了150个人才能完成的任务，现在用30个人就能做完。

  你能够变更管理，你也需要有一个监测和控制，还有网络的管理。我们就用了System Center Operations Manager这个版本，也就是以前的MOM（Microsoft Operation Manager）版本，我特别喜欢这个。在以前我在Compaq管理Open View的，在微软有一个很大的不同点。我们用Center Operations Manager的时候我们也管我们的网络资源。现在网络管理机制已经不在于说你必须买一个特定的产品了。只要那个产品监控软件能够输出标准化的信息，我们就可以用这MOM(System Center Operations Manage)个全方位的掌控。所以我们思科的网络器材都是通过MOM来监测的。

  为什么这对我们非常重要呢？以前我在管理数据中心的时候，我必须懂得BMC，必须懂得Open View,懂得种种不同的平台。现在我们放在印度海德拉巴的管理中心，这些人需要用Operations Manager我们把50几个人的工作变得更有效，少于10个人，每个班次就能够监控整个微软全世界。

  在事件管理里面，我们也是用同样的流程，这些都是息息相关的主要是用户端的管理，这个管理System Center Operations Manage出来的信息可以让我们直接管理的。System Center Operation Manage出来的Service request是直接进到我们Microsoft system center request里面，从里面可以变成用户端所看到的信息，它也会自动化的,打个比方，这个服务是由财务IT管理部门人员管理的，Operations Manager可以通过用Service Manager管理把它仅限在负责管理财务IT的管理人员，也可以收到短信。如果跟中国有关的管理器通过这里我可以收到信息，说这个服务器不行了。整个流程是自动化的。我们花了两年的时间，把我们所有IT的部门都通过了MOF的监测都达到MO的标准。这是微软最大的成就。这也是为我们内部节约了1亿美元里面非常重要的一个部分。

    现在谈谈我们虚拟化的一些实践，如何打造绿色IT。国家都在倡导节能减排。在一年多前我来到中国的时候，我非常大的体会是什么？因为刚才听到我说的年数25%的增长，我第一下就吓晕了，我怎么能够以现有的资源支持这样的倍数增长。我们的基础架构肯定不胜负荷，尤其是在北京的。所以开始我们就做了虚拟化，一年多前已经做了很多虚拟化。这些是我们在北京、上海，一些实验室，尤其是我们研发部门的实验室，我们如何把一些本来需要的物理机把它用成虚拟机来做。你可以看到，我们把1900多台原本需要物理机的虚拟化只需要149台。

  我们做了一些测试，这些所带来的效应不仅仅是空间的节省，最重要一点，排放。之前你可能有听说过张亚勤博士在博鳌论坛的时候，绿色亚洲的时候有提到IT产业。整个中国IT产业所耗用的电量把长江三峡一年用的电耗尽了。长江三峡用了300多亿美元创造的发电机站，居然给IT的产业一下子用完了。所以我们做IT的人特别要注意，目前我所知道IT产业在中国用电量达到了2%，虽然是很小，可是这个增长量会逐步的增加，所以我们非常提倡这样的理念。 

  你看到基础架构整个概念希望你能得到它所带来的效益，我都是通过一些例子把它讲出来。最终的成果想得到的是什么呢？你可以看到每个IT所要得到的就是走向动态IT的阶段。在走向动态IT的阶段里面，你可以看到企业是可以利用IT得到解决方案，又能助力业务的。你看到我所提到的虚拟化，如果是一个电信公司来说，打个比方。它所谈到的虚拟化的助力会是什么呢？他可以让电信公司能够更快的速度组建更多的平台，来扩展他的业务，业务增长会加速。你也可以看到，如果到动态IT的时候，IT变成策略的主导者，不仅仅是跟进者，变成主导者的时候可以想像IT团队是多么的有影响力。

  所以刚才你看到虚拟化的数据，张亚勤博士在博鳌所谈到的数据是我们IT供给他的。所以你可以看到IT在这里所发挥的影响力是很巨大的。我们也可以保护信息，控制访问，安全性也提高了。你看到我举的例子增加他的效率，又增加安全，所以这两者是兼得的，鱼与熊掌是可以兼得的。我们的灵活性也很大，打个比方上个月说微软收购什么公司，我们是不担心的。我们微软IT随时随地都能够介入新的作业环境，把它整合，使它很快的运营。

  我们刚才中结合了流程、技术和功能。在流程方面，统一流程是非常重要的。集中式管理非常重要，备份在地震的时候给我们多大的助力。安全测试、认证，是保证我们不受病毒用户的干扰，而能继续的运维。而在技术应用方面如果用得好，维护也好，在做管理方面，技术管理层次方面也得到更好的保障和助力。我们在功能可以保证也不会影响我们的用户下，又能够为他们提供更好的信息安全。


建设IT基础架构对企业的意义

  建设IT基础架构能所给我们带来什么呢？它能够让我们重建IT在企业里面对IT的认知， 提高企业对IT的重要性是非常有帮助的；它能够让IT迅速的达到企业的需求； IT的信息安全度可以得到非常好的保障；提升整体的IT管理水平。可以看到， 如果企业把它做成同一个架构，集中式IT管理，那么企业服务水平是可预计的，是主动性的。

  业内专家认为：目前国内企业在IT基础架构方面的发展良莠不齐，在高速增长的网络行业，对于IT支持业务的需求较为迫切，而在传统行业中，一些大型企业对于事故管理、问题管理、配置管理等方面的需求也非常典型。

  我们知道，充分部署改良基础架构管理是一个漫长的过程，不仅涉及技术，而且整个过程也会持续很长时间。就此而言，微软IT在此方面的实践结果，会给很多企业带来有益的启发，也为实现基础架构优化提供了一个典范。我们可以不断设立较容易达到的目标，一点点进展。如果一切顺利，ROI（投资回报率）的改进将很快初露端倪，不久你就会发现，新架构体积可能越来越大，但是占用的管理资源越来越少。这个时候就说明，你的基础架构管理策略步入正轨了。