正在阅读：直面问答 微软基础架构优化模型及解决方案直面问答 微软基础架构优化模型及解决方案

　　数日前，笔者参加了由微软主办的“微软基础架构优化模型及解决方案”发布会，借此在太平洋电脑网刊登了《优秀IT基础架构 企业发展的战略资产》一文，详细的阐述了微软IT基础架构优化模型的理念、实现过程、并论述了IT基础架构在企业中所发挥的重要作用——优秀的IT基础架构已经成为企业发展的重要战略资产，其作用已不再是单纯的为了保障企业业务能平稳的进行，优秀的IT基础架构更为加速企业的发展发挥着越来越关键的作用。

　　下文中所带给您的是在发布会当天参与者与两位微软主讲人之间的互动内容，这两位主讲人分别是：微软大中华区IT营运总监林伟华先生，微软大中华区信息安全总监何迪生先生，他们详细的阐述了微软基础架构优化模型的方方面面，并结合微软公司的实际实施情况，给出了有价值的可供其它公司参考的现实经验。笔者在此对发布会期间的笔记加以整理，以供您阅读。

林伟华先生 微软（中国）有限公司 信息技术部 大中华区IT营运总监

何迪生先生 微软（中国）有限公司 大中华区信息安全总监

　　主持人：企业技术架构优化提供IT架构的成熟度模型，告诉大家每个企业各自所处的位置，使得企业的IT投资能够得到更好的回报。IT不光只是帮企业做运营，其实从某种角度上，尤其体现在企业核心的竞争力。微软所谈的企业基础架构优化包括几个方面:CIO,BPIO和APIO。BPIO，也就是商务效率基础架构优化，商务效率主要是包括Office Systems，商务合作等，也有商务智能解决方案。还有APIO，应用平台基础架构优化。这个应用平台包括商务智能这样一些东西。比方说数据管理、软件开发、用户体验这些都属于应用平台。今天我们主要是要讲CIO——核心基础架构。今天会像大家介绍企业的核心基础架构包括哪几个方面，都应该怎么做。

　　微软作为全球规模最大的IT公司之一，对IT的应用可谓淋漓尽致了。微软怎么使用这些模型，或者说微软在各个方面是在哪个阶段，一会儿伟华会跟大家讲一下。伟华在这边是我们微软大中华区负责IT运营的总监，在某些企业是CIO。但是伟华是商业运营总监。Dixon(何迪生)是负责企业核心基础架构，主要跟大家讲Core IO的应用在哪里。今天是双向交流的，今天没有新闻，但是我们想利用这种机会，尤其是核心的做软件、IT的媒体，大家把一些理念的东西一起来分享，一起看怎么做。

　　Dixon(何迪生）：今天我们要讲MS IT，它是什么部门呢？是我们微软管理内部IT非常重要的部门，我们用的计算机，我们用的笔记本，还有我们所有应用系统都是他们帮我们管理的。所以如果我们把我们经验能够分享给你们读者的话，对他们也很有帮助。如果微软这个复杂的IT运转系统的管理经验可以得到推广，被其他企业借鉴应用，应该是非常好的分享。

　　所以先讲微软。刚才谈到，企业基础架构有三个方面，Core IO，APIO和BPIO。为什么有CORE IO？通常我跟大家分享会从三个方面来讲：Why， What和 How。先讲Why.通常我们的读者，还有我们的客户面对的IT问题有：第一，IT管理越来越复杂，十年前可能一个IT管理员或IT经理，打出来一个报告给CEO看看业务怎么样，今天已经不是这样了，叫IT 主管或CIO。 CIO、IT主管和IT Administrator（管理员）管理IT的范围越来越大，越来越复杂。从微软来讲，我们有1800个Applications，是一个很复杂的环境，所以管理是最头疼的问题，怎么把它管理好。第二，是花钱的部分，以前很容易就搞清楚了。今天这么多管理,这么多的Infrastructure，需要花很多钱在运维上。一个公司中，运营成本在IT Budget（预算）中所占比例有很大很大的增长。但如果把钱都花来运维，那Project怎么办，New application怎么办，这也是今天面临的挑战。第三，Security（安全），以前没有那些病毒攻击我们的IT运维系统，但是今天的手法越来越厉害，所以CIO和IT管理员要花很多时间在这上面。所以简单的说，今天IT的挑战有三方面。第一，复杂的管理，第二，IT spending，在运维护的方面，第三，security。所以有Core IO的Model帮我们改变，头痛医头的情况慢慢转变，帮大家把IT，不只是刚才那三个问题，还有把IT变成一个市场去给我们的CEO，给我们业务管理层去看，IT除了能够解决我们每天面对的问题以外，还有帮助企业业务增长的更快。从头痛医头到领先一步，这就是我们的IO模型。IO本来有七个步骤，现在改了变成四个最重点的步骤，能够更迎合Microsoft运维系统的要求。

　　今天来分享我们的经验，分为五个部分：身份控制管理，桌面、设备服务器管理，安全网络、数据和终端管理五个不同的领域。今天我们只是讲MSIT，我们的IT总监会把微软在这五方面如何去运维讲出来。一会儿有问题我们再为大家解答。现在把时间交给伟华。

　　主持人：身份与访问控制管理、桌面、设备和服务器管理、安全与网络、数据这个是企业核心基础架构当中最重要的四个部分，所以伟华可能会就这四个部分一一来讲。最后一个管理，不管什么样的技术，管理都很重要，流程也很重要，伟华也会从这个方面来讲微软是怎么做的。

　　林伟华：各位媒体朋友大家好！我们是非常国际化的演讲。我是来自新加坡的。在一年多前来到微软中国工作负责整个大中华区，包括台湾、香港IT的运营。在微软工作已经过了四年。一直以来都在IT里面工作，所以我自己本身是经历过IT尤其是核心基础架构的变化的演进的过程。今天我会跟大家谈到我们IT的作业环境，也会谈到我们在大中华区所面临的挑战，谈到五个基础架构里面我们如何逐步实现目标，达到怎么样的效率，同时也会谈到基础架构优化中信息安全的一些保障。

　　微软IT的作业环境，是一个超大的企业级。具有类似作业环境的企业是蛮多的，尤其是在中国一些国企也可能有这么大的作业环境。我们如何在这么大的作业环境里面帮助公司逐步的增长。我还记得我刚到微软的时候。微软只有4万个企业用户。你可以看到到今天为止我们已经达到了接近18万用户了。过去十年以内它是以翻倍的增长。可是我们的IT人员并不是以倍数的增长来增加的。我们IT的人员基本上是没什么增长的，我们每一年都逐步的提高生产率，我们的效率。我们如何提高生产率和效率呢？基础架构对我们是非常非常的重要。要不我们根本没办法支持从当初的60几个国家、200多个办公室到今天的440多个全球站点的办公室这样的规模。

　　微软在信息保障方面是做的非常全面，非常好的，所用的流程和管理方式都非常到位。而在企业工作内部，员工也会造成破坏。我们也通过基础架构和优化创立了一个机制，当内部如果有人想搞破坏的话也不容易作出一些攻击。在微软的作业环境里面，我们的用户有一些是开发人员，包括开发Windows的人员，你可以想像他可能都能找到一些漏洞来破坏我们的架构。可是他们做不了，就是我们用了Windows非常扎实的一个操作系统，还有PKI，Windows的PKI来保障我们的安全。

　　同时，我们有6700万即时通信，在这即时通信里面我们所用的是Office Communicator，它的是有加密的，病毒不容易进来的。这样的次数足以令企业IT系统瘫痪，可是在微软里面是非常的安全。当然我们所拥有的机器也非常的多。看到18万的用户有20万台机器。我们如何保障每一台机器的安全，就是靠着Microsoft Systems  Center Operations Manager 2007。

　　我们在微软中国IT的环境里面，其实我们是逐年的增长，我们办公室的扩充中我们讲究的是速度，在讲究速度的过程当中，如果你说你要开一个站点，一个办公室，好象我们要开一个乌鲁木齐的办公室，我们可以在两个月内把这个办公室做起来，为什么呢？就是我们用了Windows的活动目录，它让我们能很快的以单点登陆的方式就能够加入。只要你有用户，我们就能够加入。我们这样创建系统也让我们能够在整个大中华区，不需要配置很多的服务器，我们基本主要的服务器是在新加坡，我们的E-mail，我们的邮件系统，我们协同合作的平台都在新加坡，通过在新加坡的数据中心能够支持整个微软亚太，包括日本、大中华区、澳大利亚还有印度。

　　微软同其他公司也一样，面临着高速增长，尤其你看到我们GDP的增长速度是非常的快速。在这增长的快速里面，我们却拥有非常有限的资源。如果你问我，每一年的预算案尤其是在运营方面是逐步的递减。可是我可投资的资源却逐步的增加，为什么会这样呢？我可以让这个作业环境更加有效率的时候，我其实是没有损失太多的钱，而是让我有更多的资金能投入更新的技术。这也是为什么我会越做越久，越做越开心，越做越有乐趣的一个方面。

　　当然常常有人这么说，你越要提高效率，你的安全越没有保障。这也是企业常常面临非常大的挑战，可是在微软里面，我们这两个都要取得非常好的平衡。我们在保障信息安全的时候，我们的信息安全也能够为我们的用户提高更高的生产率。在微软里面你也看到微软的员工技术背景非常的广阔。我们有非常高科技，对技术非常扎实的员工，也有普通的办公室员工。我之前有遇到我们的办公室员工，也有一些刚进来微软，不会用鼠标的。你们觉得很神奇，我也是这样觉得。所以那个技术背景是很广泛的，我们支持系统的时候，必须要有一套系统真的能够维护，让他们更好的使用，不管它是怎么样的背景。

　　在微软里面你看到我们有那么多的站点，我们的移动性是非常的棒，一般我们的员工都需要出差，北京员工可能到杭州或者到深圳工作，所以他们都是移动性非常大，我们给他的保障就是他在任何的地点，任何一个地方都能够上线，都能够登录.当然我们在微软内部比其他企业有一个更不同的地方，我们必须在产品没发布之前就完成测试工作，不单单是测试，我们还把它推广到我们的用户层面去，所以它给我们的挑战是更大的。比如Vista在Beta的时候就在微软内部使用了，是在用户端，不是IT端使用，这样也逐步提高了我们产品的质量。

　　主持人：一个产品真正推出市场之前，微软自己很多时候都要前期来试用。因为放在微软整个IT环境下来试用，基本上能适应微软IT的环境，就能够适应所有企业的IT环境。

　　林伟华：最后一点就是我们的客户，微软IT里面不单要支持支援我们内部客户，我们还要支持外部客户。我们有一些合作客户和伙伴，他们对移动性影响也很大。比如沈阳的一个分销商，他如果要下订单的时候他也需要能够到达我们的系统。我们也是用同样的Windows基础架构的系统来支持这些客户和伙伴的需求。

　　我们谈到基础架构优化的时候，谈到实践，最缺少不了人员。以人为本，技术必须过硬，还有流程的支持。这三个环节是必须互相辅助，才能够把基础架构整个的概念发挥的淋漓尽致。当你看到这三各环节里面，我们非常注意的就是基础优化过程当中这三个是非常息息相关。我先从基础架构模式，四个动态里面来谈起。你看到四个状态里面，为什么之前Dixon(何迪生）说到有七个，为什么我们把它做成四个。我跟大家再阐述一下。

　　这四个会比较简单，让很多企业IT能更好的运用，如果太多步骤的话，可能会觉得遥遥无期。所以你看到我们内部IT用的时候也是以同样的理念为这做好准备。在四个状态的过程当中，第一先谈谈员工。在普遍状态的时候，IT员工是常常困扰于系统维护的，这就是十年前的我。我开始来工作的时候，常常每天都有六、七个人在排队等着我，我一到办公室就有人等着我，说我有这个需求你可以帮我实现吗？如果到了标准化的时候，你会看到我们的IT员工能够逐步为IT提供非常有规划的服务。如果到了合理化阶段的时候，你会看到IT员工是比较高效的，就像我目前这样，我不需要直接面对我的用户，反而是面对我自己的客户和伙伴的时间会更多了。用户能用正确的工具来访问他所需要的任何信息。刚才Dixon(何迪生）有谈到，我们有1800个应用程序，如果我们没有办法做到那样的时候，我们1800个应用程序是没办法用得上的。所以我们的用户是不需要找IT他就能够很快的把任务完成。到了动态的阶段，你看到IT会变成一个战略的资源。用户会把IT看成最有价值的合作伙伴。

　　打个比方。我们在谈到远程登录VPN，如果你把它做成动态的阶段，我们所提供不单单是信息保障的安全，也是提高生产力的手段。我们做到VPN的时候，如果你是做普通IT进接过程，IT管理人员每天都需要去看VPN的服务器是不是还能用的。如果它有标准化的时候，开始会说我的VPN服务器是99.9%的能够用的时间，每个月可能有8分钟、7分钟的宕机，其他时间都能用的。微软的考核标准规定我们75%的用户在一分钟登录，你看到不同点吗？你看到我们有上千万的用户需要每个月登录。我们常常在每个月为公司节约3000多万分钟的生产力。你想想3000多万分钟的生产力为公司带来的效率是多么大的？这是一个非常明显的例子。可以在一个很普通的基础架构里面，如何的把它演进成动态的阶段。

　　在流程管理方面你也可以看到，你在一个非常普通的阶段，没有在意流程的存在，IT系统是非常的复杂。到了标准化的时候，终于会有一些安全的策略，有安全的镜像，能够检测哪个机器是不标准的。到合理化的时候，你看到IT跟企业的目标紧密结合的，我们所提供的生产力的提高是与企业的目标紧密结合的。到了动态化你可以看到我流程进行主动化的不同的改进。我们目前已经创立了一个机制，能够很快的知道哪一个流程会出现问题。微软IT除了用MOF，也用了行业常用的标准，包括六个标准差来探讨一些我们内部架构的问题。当然最主要一点，就是通过Microsoft Operation Framework的管理。

　　在技术管理的层面你会看到不同的状态会出现不同的状况，如果是在普通的阶段和合理的阶段，你会看到他们不知道桌面的更新状况，所以很多IT的人如果要打补丁的时候是自己去打补丁的。我曾经见过一个新加坡的客户公司有3000台机器，在这个状态之下，当遇到一个非常大的病毒的时候，所有的人都不用工作了，全去打补丁，因为一打不了补丁，整个公司就瘫痪了。而在微软里面我们不只自动身份验证，授权管理，还有自动化。我们有自我防护、监控和隔离的功能，已经采用了NAP，Windows Vista 和 Windows Server 2008。

　　谈到基础优化的活动目录的管理，你可以看到我们的身份验证是从2000年逐步的开始，我们用了活动目录AD，目前我们已经达到了动态阶段，已经能够单点登录，也能够双重验证。大家都知道什么是双重验证吗？就好象我用的这个卡。这个卡这边有一个芯片，我们叫智能卡。智能卡里有Windows很小的操作系统。里面存储的就是PKI证书。跟银行用的U盾类似。我们为什么会选择用这样的卡呢？这个卡里面有照片，有我的名字，你放双重验证的时候，放入读卡器的时候会问你，就像U盾一样，问你的密码。你必须拿到这个卡，你必须通过我来给你密码，安全性就提高了。我们是达到这样的阶段。

　　如果说谈到用户的授权，其实在各种状态之下它有不同的使用方式。如果在很初步的阶段，你可以看到IT只是“消防队”。用户是自己管理，当然他的安全性不高，包括他们有自己的服务器自己管理，他们没有用组策系列的方式来管理，如果是到了标准阶段。到了合理化的时候，你可以把活动目录衍生，OU（Organization Union）和SG(Security Group)，在活动目录里面有两个非常大的特质，你能够把它分组化。打个比方。Dixon(何迪生）他是市场行销部，在市场行销部里面他们会有一个SG。如果有1800个应用程序，如果是一个新的同事刚刚加入微软，加入市场行销部。在市场行销部里面你会看到他怎么知道他需要用哪1800个里面的应用程序呢？那是非常困难的。所以如果在非常初级阶段的IT管理模式里面，用户要自己去找答案。如果是在我们这样的架构里面他不需要。我们能做些什么呢？我们在行销部的秘书那，就可以把这个人在活动目录里面把新人加入了SG里面，一加入了之后这个人就能够得到跟Dixon(何迪生）一样的授权。所以Dixon(何迪生）能用的应用程序，他也能够用。所以你看到生产力在应用方面已经提高了很多。对信息保安有问题吗？没有问题，因为我们都说是同一个组的，都能够被授权用的就能够用。

　　在配置服务方面你可以看到，我们微软IT已经做到自助服务和自动化。在这两个管理里面，UG管理里面我们IT是放手不做的，我们已经授权给了每个部门的主管。因为部门的主管会知道他要授权给谁，IT是不知道的，IT只是听口令，命令，说我要给这个人授权，给那个人授权。以前的IT有集中式的管理也出现这样的毛病。它的毛病是什么呢？就是之前我谈到的，部门主管叫IT授权，你可以想像到有一天企业庞大了，部门的主管其实是不知道他已经授权给了谁，尤其是经历了三年到五年的状态之下，他根本都不知道他已经给了谁授权。所以在这样的状态之下，你的信息安全是不是出现了问题。因为那个人可能已经离职了，也可能调了部门，不在你这个部门工作了，你可以想象那个破坏性是多大。到我们这个阶段，微软我们的基础架构优化里面，我们能够用我们的用户提供这样的方便，他是管理人的话，主管的话，他在每半年会收到一个报告，你的这些群组管理是给了谁授权，你认为你应不应该给这些人授权。他肯定会知道应该不应该给那个人授权，安全保障性是非常的好。

　　在IT政策方面你会看到我们在合理化的时候，我们的标准是能够被强制执行的。当然强制执行并不表示会给员工的生产力带来破坏，反正对他的效率是提高的。

　　接下来我们谈到五个重要的点。第一点谈的是身份和访问管理的方面，微软是怎么做的。大家都知道每个公司里面都有这两个重要的部门。很多时候部门的经理有人员的需求，人力资源需求的时候他就会去找人力资源部。他就需要在线帐号管理工具里面设置。在微软里面我们已经把这个自动化了，如果是部门经理，他可以去到人事资源管理工具里面填一个需求，人力资源部就能够知道他有一个这样的需求。人力资源部考核之后，觉得人力资源需求是合理的，就会由人力资源发用户帐号请求到帐号信息管理组，这才来到IT。来到IT之后我们其实是通过AD活动目录就把它创建起来。这一创建起来刚开始我提到的1800个应用程序就根据他能够加入的SG，就把它加入在里面，新的帐号和密码也很快的设置出来，然后就会通过加密邮件，而不是一个普通的邮件。别人开不了，看不了，只有这个部门经理能够看的。你可以把整个的人力资源流程也简化了。加密的邮件里面是不能转发的，也不能印表。所以部门经理在保障安全的时候也能够有更好的保障。

　　我们在身份管理方面我们应用了“强密码”。在微软里面这些通过活动目录的设置，我们  是能够把这些强密码给强化的。你可以看到，你不能够用常用的词语，也不能够用名字。我还记得有些人用第一方程式塞车，特别喜欢Hamilton，他就会想用Hamilton做密码，我怎么会知道呢？其中一个用户告诉我，非常喜欢赛车手，她是开奥迪的，是一个女生。她用了赛车手的名字，我说你真的用了赛车手的名字吗？她说是。我说不是很容易知道吗，她说不是，她说可以在里面进行改动，把Hamilton的i改称1，把t改称4，她用一种变化多端的方式，我们会给她很多限制，强密码不能够随意设置，他懂得互相交换，那么就有一个很好的强密码。

　　主持人：我们自己每个人都身有体会，每60天要换计算机的密码，每次密码要求非常的高，必须有字母，必须有大写，必须有数字。这其实从某种角度上真的是说，企业现在这种IT信息安全非常的重要，这种密码的作用我自己觉得非常有必要。

　　林伟华：我讲一个小故事。在微软里面刚才我提到有开发人员。这里面其实有一个漏洞，漏洞是什么呢？我们说你不能够重新换你的密码，起初的时候在很多年前，八九年前的时候，我们说你不能够重用你过去8次的密码。你想想看这里面有非常好的天才，他就写了一个程序，自动化的把他的密码刷过一遍，8回，就拿回原本喜欢用的密码。给我们发现到了。我们在AD里面，AD 在 Windows 2003的时候就来了更加强制性的执行，改成24回，因为改8回、16回对他是没有意义的，他是开发人员，对他太容易了。只要写几个口令就能改。改到24回他还是有办法，那我们怎么办呢？我们在AD系统里面让你在同一天内不能改两回。不能改两回的时候，没法刷了，不要紧，如果你尝试改两回会怎么样吗？你的部门经理会知道，自动化。马上就会知道你的部门里面某某人想尝试改这个强密码。做到了。所以你可以看到内部的黑客如果想要搞破坏也没那么容易了。这是活动目录非常优秀的地方。

　　桌面管理的时候，基本上我们的桌面管理是自动化。在以前要打补丁，我们是有一个程序来把它自动化，我们通过SCCM(System Center Configuration Manager)。能够把我们每一台机器给自动化，自动打补丁。所以在任何时刻我们都能知道我们的作业环境里面，会不会受到信息保障安全的隐患，我们都能够很快知道。我们在应用程序虚拟化方面，也让我们的内部用户能够用Terminal Server,还有Application Virtualization，最新的版本让我们登录一些应用程序，所以桌面管理对我们来说是非常的容易，基本上是不需要我们的用户装了很多应用程序在他的机器里面，这对我们的管理非常好。我们能够上线下一个操作系统的时候，这整个生态系统就变得很容易了。所以我们在上Vista的时候，我们大中华区只用了四个月。就是有这样一个桌面管理模式，让我们能够很快的把它做出来。

　　谈到SCCM，软件更新周期。它只是一个技术，如果你没有流程管理的话也不到位。所以流程管理的方面我们就创建了，每个月的软件更新的程序，或者叫流程。这流程是怎么做呢？我们在每一个月的第二个星期二，公司业务比较不忙的，不是在月尾结帐的时候，每个员工需要忙的时候做补丁的，而是在第二周的第二个星期二我们开始流程，把我们的修补层次全部放出去。你可以看到大约在14天内，我们基本上已经达到90%了。为什么这个很重要呢？这个数据给你一个概念，如果能够在这14天内把这个程序给打完之后，你公司的IT作业环境就安全了。所以这是很实在的。因为他已经达到标准了，包括他的防病毒、IE、Office、Windows都做好了，自动化给他了，所以是很安全的。我们在非常紧急的时候，SCCM可以让我们在24小时内强制性的把软件更新。所以这也是让我们的信息安全保障提升了很多。所以对桌面管理是特别有助力的。这只是一个图，我们可以让你看到，它可以非常强制性的，或者让用户有个选择性的时间来打修补层次。基本上不紧迫的层次让用户有个时间，根据他工作的需求，还有他忙不忙的时候，在不忙的时候打也可以的。

　　我们用SCCM在桌面管理你可以看到，我们在任何时刻，几年前和目前一些新的病毒，有一些新病毒进来之前我们就知道了，为什么呢？因为我们跟反病毒软件公司是有协议的，在少于24小时内就会通报我们。我们知道之后能做些什么呢？我们可以用SCCM看到这些病毒是根据哪一个软体、软件版本的号码，因为很多软件有版本号码来看的。我们用SCCM看到我们有多少机器百分比是能够达到标准的，让我们能够宏观来看，我们整个作业环境里面的安全性。基本上如果达到95%，这个病毒是没办法侵入微软的，这是很实在的做法，很优秀的做法，用SCCM。

　　我们谈到标准化、自动化、集中化管理，是可以实际为我们减少运维成本。我们谈活动目录的时候这是节约的成本。每一个实践我们说能做的，为公司所带来的节约是蛮庞大的。如果你看到我们有20万台机器的时候，那个效益是数以千万计美元的。基本上我们做基础架构的时候，微软IT也好，尤其是从2003年到2006年或者2007年的那个阶段，我们为公司通过基础架构优化里面，节约了1亿美元。当然我的工资还有逐步增长的空间，还是好一点的。并不是把这优化的过程当中，让员工人数减少，没有。员工人数没被减少，生产力提高，IT的效率又增强，又为公司节约成本，这就是我们所想要看到的状况。

　　第三方你看到信息管理安全方面，我们基本上用微软的Windows，Windows里面有活动目录，它也有PKI系统。这个PKI在我们企业里用的淋漓尽致是有几个方面的。打个比方，网络隔离。在2003的版本，或者2000的时候都能够做网络隔离了。我指的是Windows Server 2003。所以你看到Windows  Server 2003的时候能够做有限制的隔离，可是这个隔离是有代价的，虽然你保障了整个企业的安全，我们从内部的实践里看到，我们每当把一个用户，因为他不达标的时候把他隔离的时候，他是损失了多少分钟的生产力，37分钟。企业的整体安全是保障了，所以你看到如果微软IT能够往动态化方面来着手的话。我们基本上是要用Windows Server  2008的版本跟Vista要结合，这两个用就用NAP（Network Access Protection）。这个时候我们会怎么做隔离呢？隔离方法是不一样的。是把用户带入虚拟的网络里面，打修补程序之后确定达到标准之后再把它带入公司的作业环境。当然你看到在桌面做的时候是不知道的，只是不能够运用网上的资源，在几分钟，或者十几分钟内，直到修补程序进行完之后才能够进入，这个过程有时候不会察觉，也不会影响。对他的生产力影响也不是太大，跟我之前所说的37分钟。我们之前所做的网络隔离每个月为什么会知道呢？因为我们每个月隔离了1万个用户。后来我们做了修改把它降到了每个月2700个用户。在Windows Server 2008，这2700又免了，所以看到效率又提高了。

　　我们也有用Windows Server里面通过跟Office的结合可以把邮件加密，让邮件安全信息更好的传递。我们也有用Windows来做安全文件共享和授权管理的模式，我们也可以通过SharePoint，SharePoint是必须通过活动目录的支持的，如果用底下基础目录支持SharePoint，你的SharePoint邮件共享管理是可以自动化，是可以自动管理的。如果一个公司把活动目录用到淋漓尽致的时候你可以用到不同的好处。Windows里面也有审计和监察的功能。ACS（Audit collection system）是根据Windows配套来的。而这个Audit collection system里面，也能够让我们自动的扫描、分析，动态化的助动化的分析是不是有安全性的隐患，这也是非常大的一个助力。

　　第四点如何最大化系统管理的投资，你可以看到尤其是在备份这个方面。我先说一下汶川地震我个人的一些经历。在汶川地震的时候我们都在办公室，地震第一点就是想逃，我们在逃下去之后后来我们说我们到底是做IT的人，我们第一个要保障的是什么？数据安全。我们也不知道地震还会再来。后来我们要打电话的时候，打去上海打不通，打到成都也打不通。结果是通过台湾海峡两岸，另一岸台湾的经理打电话到成都帮我连线上去的。在这个过程当中我们想说什么呢？第一个是人身是不是安全，人安全之后我们看数据是不是安全，所以我们看数据安全的时候我们就说，还好，我们有Data Protection Manager（英文），Windows基础架构里面的第四点，备份里面。Data Protection Manager我们已经用了两年。在新加坡有一个数据中心，我们用Data Protection Manager的时候，我们把北京、成都、上海、广州的备份拉到新加坡去的，是通过网上备份的，不是用北京里面出了一个很大的tape library备份，不在网络负荷非常大的状况下，能够把北京的数据给备份。所以在当时我们就启动了一个机制，打电话去全球数据管理中心，说因为我们发生了地震，你马上给我们启动这个备份。结果在八个小时内，我们把全中国的备份都做完了。我们在谈到这个的时候，你可以看到我们的财务部，我们的管理层对我们说，你们做的特别好。因为在当时我们天天都在开会，汶川地震大家天天在开会，这个是不是得到保障，人是不是好。我们客户的讯息是不是能够得到安全，我们的客户是不是好的。我们天天都在讨论，我们天天打汇报的时候告诉我们的管理层，这些备份你都不需要担心，在当时我们财务部在做年度预算的时候，那个时候数据的安全对他们太重要了。任何一个时刻的数据安全都太重要，我们把它保住了。就是因为我们用了这个产品，所以我们很自豪。

　　虚拟化也给我们带来一些助力，尤其以地震的这种状况来看，我们很多虚拟的服务器都在新加坡，或者在美国。相对来说安全性就很高了，原本我们是把它放在日本的，日本太多地震了。我们把我们的数据中心放在七层以下的楼里面都还是受到震荡，结果我们还是把它搬到相对比较安全的地方去。

　　现在想谈谈MOF，大家都听说这个吗？ITIL是不是比较复杂？这个比较简单，我们把它简单化让大家都容易用。简化版都能够达到99.999%，并不是简化之后就达不到质量，不是的。所以我们用了这个。在这里面你可以看到，服务等级的管理、容量管理、可用性管理、财务管理都能够通过我们目前System Center能够体现，打个比方Windows Server 2008虚拟化的技术，以前我们做应用程序虚拟化的时候是不能够动态处理的，在Windows Server 2008有了之后，我们已经有超过25%的服务器已经走向了虚拟化的阶段。在今年年底我们想要达到50%的目标。它对我们会有什么助力呢？打个比方，以前我们有个应用程序，或者要更新的时候，基本说我们会跟我们的用户说，你等三个月吧，因为我们要去买机器，我们要测试，也不完全能够做得到。我们用了这个虚拟化的运维方式的时候，基本说是我们不需要三个月了。我们在两周之内就能够把硬件和软件都配合起来，就能够通过Virtual Machine Manager利用Hyper-V把数据创建起来，所以容量管理的时候可以动态式的转移，如果虚拟化的服务器不胜负荷的时候我们也能够知道，我们可以通过Virtual Machine Manager把它动态式的转移，不会影响到用户的运作环境。你看到在变更式管理的时候，我们基本上用的比较多的是System Center Configuration Manager，配置发布，我们有1000多台机器在一天之内能够变更管理。我们创建流程的时候我们也创建一个小组，叫做全球变更管理中心，在印度海德拉巴。这个小组只有20几个人。通过SCCM在三天之内把8000个服务器给更新了，就是因为有自动化的运营方式。以前是用了150个人才能完成的任务，现在用30个人就能做完。

　　你能够变更管理，你也需要有一个监测和控制，还有网络的管理。我们就用了System Center Operations Manager这个版本，也就是以前的MOM（Microsoft Operation Manager）版本，我特别喜欢这个。在以前我在Compaq管理Open View的，在微软有一个很大的不同点。我们用Center Operations Manager的时候我们也管我们的网络资源。现在网络管理机制已经不在于说你必须买一个特定的产品了。只要那个产品监控软件能够输出标准化的信息，我们就可以用这MOM(System Center Operations Manage)个全方位的掌控。所以我们思科的网络器材都是通过MOM来监测的。为什么这对我们非常重要呢？以前我在管理数据中心的时候，我必须懂得BMC，必须懂得Open View,懂得种种不同的平台。现在我们放在印度海德拉巴的管理中心，这些人需要用Operations Manager我们把50几个人的工作变得更有效，少于10个人，每个班次就能够监控整个微软全世界。

　　在事件管理里面，我们也是用同样的流程，这些都是息息相关的主要是用户端的管理，这个管理System Center Operations Manage出来的信息可以让我们直接管理的。System Center Operation Manage出来的Service request是直接进到我们Microsoft system center request里面，从里面可以变成用户端所看到的信息，它也会自动化的,打个比方，这个服务是由财务IT管理部门人员管理的，Operations Manager可以通过用Service Manager管理把它仅限在负责管理财务IT的管理人员，也可以收到短信。如果跟中国有关的管理器通过这里我可以收到信息，说这个服务器不行了。整个流程是自动化的。我们花了两年的时间，把我们所有IT的部门都通过了MOF的监测都达到MO的标准。这是微软最大的成就。这也是为我们内部节约了1亿美元里面非常重要的一个部分。

　　现在谈谈我们虚拟化的一些实践，如何打造绿色IT。国家都在倡导节能减排。在一年多前我来到中国的时候，我非常大的体会是什么？因为刚才听到我说的年数25%的增长，我第一下就吓晕了，我怎么能够以现有的资源支持这样的倍数增长。我们的基础架构肯定不胜负荷，尤其是在北京的。所以开始我们就做了虚拟化，一年多前已经做了很多虚拟化。这些是我们在北京、上海，一些实验室，尤其是我们研发部门的实验室，我们如何把一些本来需要的物理机把它用成虚拟机来做。你可以看到，我们把1900多台原本需要物理机的虚拟化只需要149台。我们做了一些测试，这些所带来的效应不仅仅是空间的节省，最重要一点，排放。你可以看到为什么我们会有这个数据？刚刚我们说了，国家在提倡节能减排的时候我们关注的是什么？国家电够不够用。不是钱的问题，而是电够不够用。之前你可能有听说过张亚勤博士在博鳌论坛的时候，绿色亚洲的时候有提到IT产业。整个中国IT产业所耗用的电量把长江三峡一年用的电耗尽了。长江三峡用了300多亿美元创造的发电机站，居然给IT的产业一下子用完了。所以我们做IT的人特别要注意，目前我所知道IT产业在中国用电量达到了2%，虽然是很小，可是这个增长量会逐步的增加，所以我们非常提倡这样的理念。

　　你可以看到我们提这个的时候，我们从上海电力局，上海电网得到的资料，每一千瓦特的电，所造成的碳排放居然是那么得大。二氧化硫还不能够显示，也会对二氧化硫的排放造成一些破坏。所以你看到我们在这里，通过虚拟化，我们计算出减了6500多吨的碳排放。我们在为蓝天创造一些更有利的条件。最重要一点节省起来的电造福了多少户人家，这是上海电网所给的数据。平均上海的用电量是2832千瓦特。我们做的造福了2800多个户人家。如果IT有认知的话是一份社会责任，是一份公益，是一份非常值得做的事情。

　　你看到基础架构整个概念希望你能得到它所带来的效益，我都是通过一些例子把它讲出来。最终的成果想得到的是什么呢？你可以看到每个IT所要得到的就是走向动态IT的阶段。在走向动态IT的阶段里面，你可以看到企业是可以利用IT得到解决方案，又能助力业务的。你看到我所提到的虚拟化，如果是一个电信公司来说，打个比方。它所谈到的虚拟化的助力会是什么呢？他可以让电信公司能够更快的速度组建更多的平台，来扩展他的业务，业务增长会加速。你也可以看到，如果到动态IT的时候，IT变成策略的主导者，不仅仅是跟进者，变成主导者的时候可以想像IT团队是多么的有影响力。所以刚才你看到虚拟化的数据，张亚勤博士在博鳌所谈到的数据是我们IT供给他的。所以你可以看到IT在这里所发挥的影响力是很巨大的。我们也可以保护信息，控制访问，安全性也提高了。你看到我举的例子增加他的效率，又增加安全，所以这两者是兼得的，鱼与熊掌是可以兼得的。我们的灵活性也很大，我们在微软我其实是不担心，打个比分上个月说微软收购什么公司，我们是不担心的。有这个状况我们微软IT是随时随地都能够介入新的作业环境，把它整合，把它的很快的运营。

　　我们在谈的过程中结合了流程、技术和功能。你可以基本上在流程方面，统一流程是非常重要的。集中式管理非常重要，你听到备份，在地震的时候给我们多大的助力。安全测试、认证，是保证我们不受病毒用户的干扰，而能继续的运维。而在技术应用方面如果用得好，维护也好，在做管理方面，技术管理层次方面也得到更好的保障和助力。我们在功能的时候也不会影响我们的用户下，又能够为他们提供更好的信息安全。

　　建设基础架构总结来说，它所给我们带来的意义是什么呢？它能够让我们重建IT在企业里面对IT的认知，对IT重要性的提高，是非常有帮助的。它也能够让IT很迅速的达到企业的需求。当然IT的信息安全度，如刚才我所提的已经得到非常好的保障，也提升整体的IT管理水平，其实我们IT管理水平在微软里面是受到非常认可的。我们常常被请出去跟其他客户分享我们的管理，把这些管理理念给逐步的帮助客户，还有我们的伙伴们实现。你也可以看到如果你把它做称同一个架构，集中式IT管理，你的服务水平是可预计的，是有主动性的，而不是被动性的。所以这点对微软IT是非常非常的重要。今天想通过这样的一个机会跟大家分享。到此为止。谢谢大家！

　　问答环节：

　　主持人：刚才这个环节是伟华花了很多时间，怎么提升微软的效率，提高社会整体的效率性。我们想通过这种方式，包括伟华所讲的不光是IT的管理者，从很多角度跟我们客户分享，使得大家怎么从自己的微软IT管理的经验上学到企业，尤其一些大型企业，当然像微软这么超大型的企业怎么能够更好的使用IT。接下来大家有问题的话可以一起来探讨。

　　提问：今天讲的基础架构优化，这个基础架构优化的模型现在在其他企业有应用吗？对其他企业的CIO来说有什么借鉴价值？

　　林伟华：我并不知道在大陆里面有没有。我可以说在客户端里面应用比较多的就是比较大型的企业，基本上据我所知，我不能够说出名字。这是对其他公司保密的问题。你可以看到德系、英系、美系公司都达到合理化的阶段，但是很少公司会达到动态化。基本上80%的公司还是处于基本化，或者标准化的阶段。

　　主持人：我觉得中国大多数，尤其是中小型企业，基本IT基础架构都是在基本化阶段的，你们应该更了解，国内企业在四个架构当中目前是一个什么样的位置。

　　提问：据我自己的了解现在国内企业在这一块前后的差距也很大的，走在比较靠前的企业，现在对于业务支持要求非常高，自己的变化也是非常快的。所以可能在这一块借鉴微软对他们会有很大的帮助，尤其在高速增长的网络行业很典型。但是对于传统行业一些大型企业的话，我觉得对于这里面刚才讲到一系列的像一些事故管理、问题管理、配置管理这是很典型的需求，非常非常典型。在这一块我觉得它如果借助微软IT服务管理商，会对这个东西接受度非常高，认同度非常高。这是我的一点分析。

　　林伟华：非常同意这样的说法。因为我有去过一个国家非常大的企业，对这个需求非常大，也希望跟我们一起合作，带入更加动态化的管理。

　　提问：刚才提到现在企业在基础架构优化方面实现了合理化，但是动态化还没有实现？是什么原因导致没有达到动态化这一步，要想实现动态化的话有哪些关键问题要解决的吗？

　　林伟华：可借鉴的地方，可以加强的力度是在于自动化，还有集中式管理。这两方面给我来看是比较重要。第三点就是人员，人员的提升是非常的重要，培训。我看到很多企业都已经朝向ITIL培训方式。所以我可以预见在接下来的两、三年内，速度是很快的可以达到合理化的阶段是非常快的。

　　提问：我问一个具体的问题。微软内部有很多员工，研发人员在微软内部是怎么保证源代码安全的？

　　林伟华：你问的问题特别好。你可能看到了问题的重要性。源代码的管理我们用的IPSE(IP security…)，英文叫做或者叫Network Semination，就是网络隔离的方式。比如我们在创建网络的时候，你可以看到这些都是有插口，有借口就这样接。可是背后网络组建可以隔离的。我们用了Windows PKI的隔离系统。隔离系统很重要，我们把源代码的服务器管理机制，是被隔离的。我是普通用户的话，我不管怎么样尝试想要搞破坏，我要发布一些口令去做一些事的时候，根本进入不了，就被阻隔。那些不被阻隔的，负责资源管理，必须上源代码的话，你是必须达到AD的SD，安全管理的标准，必须在那个特别群组里面。这个群组的管理人基本上是三方认证。比如我，Dixon(何迪生）,Jim我们三个人都要同意这个人能够进，如果三个人有一个人不同意，这个根本碰不到那个机器，也结合了人员。政策的管理那一方面，还有Windows的隔离来做的。也不需要特地买一些特别昂贵的网络隔离机器，我们通过Windows的网络隔离政策就能把源代码给分隔出来。所以内部的普通用户根本不知道这些服务器在哪，我自己本身也去过数据中心，我看过源代码的服务器管理。我是看过，不过我不能进去。因为里面是由头到脚两面监控。而且进去的时候是不可以一个人进去的。至少两个人才能进。所以这样的维护方式你可以看到Windows的强化非常重要，在人员、政策管理上面也非常的重要。

　　提问：刚才提到MOF，基于ITIL这边有ITSM管理软件在用，国内也有做。我刚才听到有几个模块是相同或者类似的，你们这种经验，刚才也提到了一些企业用户提供咨询，第一你们是不是也会形成这样的软件，或者一种有些方式服务收费？第二个你觉得和ITSM竞争有什么优势？

　　Dixon(何迪生）：我们基本上跟ITIL是连在一起的。ITIL大中华区的主席也是我们很好的朋友，我们经常跟他讨论，怎么把微软内部的管理跟ITIL，还有ITSM连在一起推广我们的理念。我们跟HP,IBM都是合作伙伴，推广IT Service Management。他们有他们的好，我们有我们的好。最终来讲就是ITIL里面每一个概念我们MOF跟它是连一起。MOF好在哪里？进入微软的用户用MOF很快的ITIL应用在微软平台上面。从ITIL里面慢慢看，怎么连在一起。所以MOF比较好做。关于MOM和SUM，还有以前的SMM以及SGM这一块跟ITIL是连在一起的，我们开发这个软件的时间是非常短的，ITIL也给我们很多意见。我们的团队是在上海，SUM研发的部门在上海。

　　林伟华：你提到ITSM的模式，这个模式基本上跟其他的供应都有一贯性，Dixon(何迪生）跟我都有这样的看法，我们自己做微软内部IT的时候，我们发现做这个的时候速度特别的快，又快，又好。这个又快又好是用两年多时间就能把它做出来，对我们的意义特别大。所以我们会尽力的推广。里面也有一个Service Manager。所以你看到我们都有一个机制，每一个月我们内部都有Service plan review。

　　Dixon(何迪生）：所以ITIL以外我们Security这一块，我们有和IESC合作，怎么推广我们Security这方面的理念。我觉得管理跟安全在现在来讲IT业务不可以没有的。所以这两方面微软非常非常注重，伟华跟SM团队，跟Industry, Local company经常讨论、研讨，怎么把这方面做的更好，希望把我们的经验分享给我们企业的用户和你们的读者。希望通过这个把我们中国企业的IT的应用带起来，能够跟国际接轨，我们把这个拿过来变成中国的，达到中国化的理论。我们是刚刚起步，希望这方面做的更好。

　　提问：听到介绍感觉特别适合大的企业，微软也是特别大的。但是中国来说小企业特别多。是不是有计划小企业里面有一些模板，觉得不是特别好，七个步骤简化成四个步骤，大家有一些希望和自己更像，这样小企业没有疑虑去实施提升自己。

　　林伟华：你说的小企业规模是多大？

　　提问：50个人到100个人企业左右。

　　林伟华：如果说500人，我觉得50人是小了。50个人我们有一个System Center Essential。我知道的500人，假设我看过500人的企业，他们能不能应用这样一种基础架构，非常适合。

　　Dixon(何迪生）：简单讲一句，我们中型企业和小型企业，他们不同PC的数，不同的人数我们应该用什么样的方案帮他解决这个问题。刚刚讲的System Center Essential针对中小企业管理方面的应用。不需要全部的，管理的人员也不是很多，如果给他很大型方案根本用不来。所以System Center Essential针对他们的需求给他一个方案。还有流程方面我们还有一个Core IO架构，知道他们的需求在哪里，这一块有中小企业版本，今年已经推出来了。

　　主持人：有一个考核表。我曾经在新加坡也做过类似基础架构的讲析会，过后做个考核表，考核表会说你在哪一个阶段你需要花哪个重力，你可以通过System Center Essential应用你需要用的平台，能把它做起来。

　　林伟华： 500个人怎么更适合呢？500个人经济效益比较好，并不是软件的问题。你看以前我做Oper View的时候，我们买的时候就买几百万美金，如果在一个小的企业根本是没办法做的。买一个服务器的监控，以前用BMC，5000美金一个服务器，你怎么买？所以一个小企业是比较难做。我们在谈到System Center Essential，我不知道它的价目表，软件不是一个大问题，最大问题是什么？为什么说500个。因为你要走整个流程的时候，你需要里面10个IT管理人员，在一个500人的机构。如果你是50个人的机构里面，你想想会有几个IT人？可能都没有，都用外包。很多公司用外包来做，500个人里面可能有10个人做就可以。

　　Dixon(何迪生）：有一些小企业老板没有人管理IT系统，就是自己看看书很简单建立起来就可以运维的，还有很小的企业，所以我们希望给他们一些意见，展示他们的问题。

　　提问：作为CIO来讲他更多的知道IT管理的好处，最少IT变得不是体力活了，自己很清楚。网络我们知道做CIO，十年前和现在有很大的变化，不断的更新。微软不一样。举个最直接的例子，比如说我要监控一个服务器，我们有一些企业买的是那种自己DIY的模式，没有监控模块，所有的模式要基于监控模块。我的意思是对这些CIO来讲，他们面临最大的问题不是说意识不到这个好处，而是面临投资不足的问题，你也是作为CIO，我相信你也有同感，能不能就这个方面分享一下？

　　主持人：CIO怎么说服老板IT方面更多的投入？

　　林伟华：资源不够的状态下。我可以讲一下个人的经验。我觉得标准化和集中化还是我想讲的。因为集中式会节约，为什么这么说呢？以前我在东南亚的时候我们有七个Server，每一台Server运营维护都要2、3万美金每年。我们把它集中式的管理，刚好到了三年，一到三年之后，或者到五年之后，其实是到了三年多接近四年的时候我们更新，当时计算如果把七个服务器更新要20几万，30万美金。如果组建成集中式管理的时候，我只需要5万美金。所以这个对我来说是很重要的，我们是往集中式方向走。另外一点刚才你提自己组装DIY，这个是我开始来微软看到机房的一幕。我还是说它需要标准化，我自己本身也是DIY，所以我用很多太平洋网站。我常常自己到海龙去，在公司的操作运营方是来看公司，公司要规范化。标准化是很重要的，我给那个人的建议必须往标准化思维去做，因为标准化和集中式最终会带给他经济效益。

　　Dixon(何迪生）：我在大陆大概有两年的工作时间了，之前我在香港微软。那个时间我在香港微软是做CIO，也是管理安全这一块。在之前我做一个企业的顾问，我每天跟CIO坐在一起喝咖啡研究一下怎么把IT做的更好。跟一些大企业跟他们在一起看把IT计划做好，很多时间坐在一起干这个活的。通常来讲我都面对刚才你讲的问题，怎么去拿足够的资源去推行。通常第一步我不想我们是IT，想我们CIO和CFO他们要什么，他们想什么，我们再看他们有什么愿望，把它标准化，把其他东西放进去，这是很好的方案。然后再开始一个谈判，跟CEO，CFO每天谈判，你要这个没问题，IT能够保证这一块，然后问他希望给你什么，我给你什么，这是谈判过程里面能够达到我们共赢这个目标。

　　主持人：作为CIO来讲对企业业务有需求，对企业业务本身有了解，这样你才知道企业对IT的需求是什么

　　林伟华：其实你看DIY跟你买一个配置化的标准是没有多大的差别，所以如果你买一个标准化的器材，你就能够有模块来管理，这个是不用担心的，是可以管理的。

　　提问：今天听了讲很多优化基础设施方面的东西。刚才讲是基于微软很多系统，我想微软的系统里面可能也有非微软的东西，或者说其他的公司里面也不是纯的微软的环境，你有什么针对非微软的环境，整体来讲优化的建议，或者对于其他的公司不是纯微软的环境怎么去做微软？做微软管理工具对于Linux其他的管理怎么做？

　　林伟华：我先说微软，微软里面就是用微软。我们用微软的东西已经非常足够，能够让我们的运维，我们从来没有考虑我们用其他的。当然你说其他的平台怎么做，刚才我提到System Center Operations Manager，现在的管理兼容性很好。我们的网络器材如果是思科的话我也能够用这个看到。网络的监控也能做。我不会说其他产品，我们就用思科，我们能够看到不同服务器管理模块，我们也能够通过Operations Manager主要关键在哪？我们叫做Connecter。现在平台兼容性好就是因为有Connecter。我们用Operations Manager把所有微软系统都看到。

　　Dixon(何迪生）：现在来讲除思科以外我们还有很多合作伙伴在SUM Connecter这一块做了很多的模块发展，跟很多硬件、软件连接一起，等我们SUM能够跟他们监控，有很多很多这方面开展研发的应用。