怎樣充分利用IT預算

哪些技術可以帶來最大的回報？而哪些技術只會榨干你的IT預算？IT投資的戰(zhàn)略非常重要，本文將從7個IT項目方面來細述2007年CIO可能在哪些方面投入過多、哪些方面投入過少。

據(jù)調查，2007年IT開支的增長率只有6.6%，其背后隱藏著相當大的變數(shù)。降低成本的日常措施及新出現(xiàn)的技術潮流讓許多企業(yè)忙碌起來，并在整個企業(yè)實施重大變革。IT資金在今年也變得活躍起來，往往從一個項目轉移到另一個項目。在這種情況下，CIO如何分配資源至關重要，你不敢往項目的一個方面投入過多，因為擔心會影響另一個項目的正常開展。

今年，大多數(shù)CIO在支持業(yè)務方面可能投入過多，推動業(yè)務方面投入過少。這不足為怪，不過那些善于充分利用資金的公司，很可能把多出來的資金提供給旨在加快實現(xiàn)業(yè)務目標的新項目，從而提高IT對整個公司的總價值。

《InfoWorld》對分析師、專家和CIO進行了調查，以了解在事關公司成敗的項目中，哪些方面投入過多、哪些方面投入過少。這7個方面是: SOA、法規(guī)遵從、安全、虛擬化技術、協(xié)作、網(wǎng)絡和應用開發(fā)。

1 編制預算，確保SOA成功 

過去幾年里，由于許多公司力求發(fā)揮Web服務的潛力，從而提高現(xiàn)有IT資源的價值，公司上下都在呼吁采用面向服務的架構（SOA）。不過與SOA相關的大多數(shù)活動僅限于討論、調查、規(guī)劃及小規(guī)模項目。

由于早期采用者已經從概念證明（POC）實施階段進入到更可靠的部署階段，SOA開支在2007年會出現(xiàn)大幅上漲。不過，要是缺乏洞察力和先見之明，許多企業(yè)會把太多的資金用在確保SOA長遠成功效果不大的方面。

首先，太多的錢會再度用于炒作上。結果會發(fā)現(xiàn)，許多企業(yè)在“盲目跟從潮流”或者“按照雜志上的方法來管理”，而事實上，它們應當把心思集中在確定自身需求上。這意味著把過多的錢用于各種指導委員會、會議和概念證明，以至于妨礙了實際工作的完成。

更糟的是，由于許多企業(yè)還沒有弄清楚自己的需求，就求助于廠商提供“一攬子SOA”，結果這些資金過多地用在了早期階段。換句話說，他們還不知道準備在何處建造房子，就買下了房子。

其次，側重于戰(zhàn)略咨詢將是2007年投入過多的另一個方面。戰(zhàn)略顧問往往并不提供詳細的執(zhí)行方案，戰(zhàn)略規(guī)劃固然很重要，但實際工作要從確定需求開始，包括從語義、流程和服務層面來了解整個企業(yè)。據(jù)IDC調查顯示，咨詢開支在2007年會翻一番，達到55億美元。

要是公司把更多的資金用于培訓，也許會得到更好的回報。SOA既是一種技術轉變，更是一種文化轉變，要求IT人員在這兩方面都要精通。如果沒有合適的人員，就會帶來高昂的成本，而更高昂的代價是不得不招聘新員工。

第三，安全將再次成為后來才想到的因素?，F(xiàn)在過度縮減安全開支彌補不了將來可能會出現(xiàn)的損失。安全政策管理是一種概念，又是一套技術，這兩方面都需要加以關注。發(fā)布服務是SOA的魅力所在，不過這在節(jié)省成本的同時，也會造成許多破壞。

最后，很少有公司會投入足夠費用來認真關注新興的Web，特別是軟件服務化（SaaS）和Web服務這兩個市場。許多企業(yè)級應用可以外包，或者外包給SaaS提供商（可以通過Web來使用），或者作為直接進行抽象處理后加入到SOA里面的一組服務。的確，利用新興的Web也許會帶來最大的投資回報。

2 充分利用新興的協(xié)作方案

長期以來，消息傳送技術廠商為自己的軟件添加了眾多特性，希望提供綜合性平臺，可以滿足每家企業(yè)的協(xié)作要求。用戶何不采用新興的替代方案，以此組建適合自身預算和需求的協(xié)作環(huán)境呢？

大多數(shù)企業(yè)已經認識到，如果棄用大廠商的電子郵件許可證，可以節(jié)省費用，可是在安排會議方面，相關日歷軟件的空閑/忙碌安排功能卻很難與之媲美。日歷分布式創(chuàng)新和版本控制（CalDAV）旨在改變這種情況，這項標準面向可以兼容的日歷安排功能。如果符合CalDAV的服務器和客戶機被用戶廣為接受，用于許可證方面的費用就會減少，而且能把員工解放出來，不必使用電子郵件作為臨時替代工作流的辦法。

OC Tanner公司的IT主管Kelly Phillips說，借協(xié)作之名用于內聯(lián)網(wǎng)和門戶的費用大都浪費了。Phillips說: “我們投資組建了內聯(lián)網(wǎng)，結果發(fā)現(xiàn)由于缺少協(xié)作工具和豐富的內容，這個內聯(lián)網(wǎng)毫無用處。內聯(lián)網(wǎng)到最后往往淪為內部的小冊子軟件，上面只有電話簿、自助菜單，可能還介紹銷售支持或者人力資源方面的一些活動。從某種程度上說，我們添加的內容越多，內聯(lián)網(wǎng)變得越沒有用?！盤hillips建議，應投資于企業(yè)搜索解決方案，為資源編制索引，而不是為各種內容提供一個集中地方。

盡管博客炒得很火，但作為一種協(xié)作工具，它尚未得到充分利用。博客軟件還可以取代大多數(shù)郵件列表，這種列表往往會堵塞收件箱，妨礙電子郵件的高效使用。把低優(yōu)先級的郵件移到RSS新聞源，并且鼓勵使用新聞源閱讀器，這能夠以低成本方式提高生產力。

知識管理系統(tǒng)可能是在2007年開支過大的另一個部分。多渠道聯(lián)絡中心Sento的CIO Steve Fulling認為，Wiki（一種多人協(xié)作的寫作工具）是值得嘗試的另一種辦法。Fulling說: “Wiki很好地滿足了我們的要求，還能把省出來的資金用于其他更緊迫的項目?！?

不過，加強協(xié)作的最重要項目也許與工具無關。無論是規(guī)劃不當?shù)碾娫挄h，還是越堆越多卻沒人點擊的電子郵件，你要是想當然地以為員工知道如何使用你發(fā)下去的工具，就會失去工作效率。事實證明，輔導員、教員和培訓師對幫助員工進行有效協(xié)作起到了關鍵作用，不要在培訓方面投入太少。

3 權衡法規(guī)遵從的成本 

IT預算中用來支持法規(guī)遵從的那部分數(shù)額相當大，而在有些情況下，卻妨礙了實施更可靠、更具體的計算機安全保護措施。換句話說，為了遵從法律條文而投入大筆費用，卻很有可能把企業(yè)置于險境。

安全機構SANS Institute的主管Stephen Northcutt同樣認為: “IT人員非常重視法規(guī)遵從，這其實是為了應對審查，而不是應對安全。我們想方設法滿足一系列審查要求，但這些要求到頭來保證不了、也評估不了實際安全。審查要求和法規(guī)往往過于寬泛，存在空白和重疊的地方。”

大多數(shù)公司受制于好幾部行業(yè)法規(guī)，而這些法規(guī)對安全定義的描述過于寬泛。某銀行的IT主管說: “第一個審查人員說我們要使用至少6個字符的密碼，另一個人卻說密碼至少要8個字符，而且要復雜。有些審查人員注重賬戶封鎖機制，有些人卻并不注重，但誰也沒有問到影響密碼總體安全的其他因素。實際上，法規(guī)并沒有規(guī)定密碼要使用多少個字符，只是規(guī)定了要確保密碼安全?！?

Bon Secours Health Systems的信息安全官Hodges說: “如果我們面對兩部相互沖突或者相互重疊的法規(guī)，就會為了穩(wěn)妥起見，采取最保守、最安全的方法，從而滿足兩部法規(guī)的要求?！钡偸遣扇∽畋Ｊ氐姆椒ㄒ馕吨_支比較大，而且從整體安全的角度來看也沒有這個必要。由于法規(guī)往往是雷聲大雨點小，所以CIO在投資法規(guī)遵從項目時就要弄清楚如何劃定界限。畢竟，為了遵從法規(guī)而從其他切合實際的安全項目抽調大量的資金和精力，會為將來埋下禍根。

4 按需所取的網(wǎng)絡技術最有意義

千兆、VoIP和入侵防御系統(tǒng)（IPS）繼續(xù)備受關注，許多企業(yè)計劃在2007年部署。不過，除非絕對有必要，否則這些方面可能會投資過多。

VoIP更像是拍打基礎設施的小浪花，而不是像廠商們所希望的大浪潮。普遍采用的局面會出現(xiàn)，但如果公司對VoIP采用按需所取的方法，會從中得益。昂貴的實施成本，加上已安裝到位的性能可靠的PBX，這些因素使VoIP成了“有機會更換時才更換”的一類技術，譬如辦公室搬到新大樓，或者現(xiàn)有的PBX需要更換時，才改用VoIP。此外，許多PBX廠商支持添加到自身系統(tǒng)中的VoIP，讓VoIP電話可以與傳統(tǒng)電話集成起來，從而便于分支機構或者遠程辦事處的部署，不必連網(wǎng)絡核心都采取淘汰并更換的做法。

千兆到桌面也是這樣。雖然公司購買了配有千兆網(wǎng)卡的桌面系統(tǒng)，卻把它們接入10/100 Mbps交換機?，F(xiàn)在對帶寬的需求根本不夠高，用不著要求每個邊緣交換機和上行鏈路都進行升級。

那些在2007年選購IPS的公司應當記住: 許多管理員對這類系統(tǒng)持懷疑態(tài)度。更糟糕的是，這種系統(tǒng)帶來的問題常常多于能夠解決的問題。數(shù)量激增的病毒和蠕蟲無疑讓使用Windows的公司頗為頭痛，但大多數(shù)IPS在配置及維護方面要求很高，解決方案本身的高昂成本就更不用說了，這不免讓人對投資效益產生疑問。大多數(shù)公司與其花錢在網(wǎng)絡核心或者邊緣層面消除病毒和蠕蟲，還不如在桌面和服務器層面消除病毒和蠕蟲。

另外一個投資過多的熱點是帶寬。各大ISP提供的帶寬之間仍存在嚴重脫節(jié)，不管怎樣，最終用戶抱怨帶寬不夠是意料之中的必然結局，千萬不要以為你可以讓用戶沒有怨言。

5 服務器虛擬化技術削減成本

2007年，不采用虛擬化技術的公司勢必會投入更多的資金用于維護數(shù)據(jù)中心。能源日益緊張使企業(yè)逐漸改用虛擬化技術，CPU行業(yè)的創(chuàng)新及競爭性技術日趨成熟，并已證明: 服務器虛擬化技術可以大大減少能耗。

采用虛擬化技術的第二個原因是降低替換硬件的成本，尤其是在當前，許多企業(yè)進入了服務器升級周期的采購階段。IDC分析師Frank Gens說: “IT公司采用服務器虛擬化技術后，可以把硬件成本減少1/4到1/2。”IDC預測，新部署的專門充當虛擬主機的物理服務器數(shù)量今年會增加52%。

廠商將專注于功能較強、成本較高的服務器，捆綁了VMware、Virtual Iron和Virtuozzo等平臺，這些服務器的增長速度會超過捆綁了原始操作系統(tǒng)的服務器。低端服務器仍是一個選擇，不過與大中型平臺相比，會日漸失寵。預計8路服務器會獲得新生。

就許可費而言，VMware每個插座的價格都高高在上，不過競爭會促使價格在2007年跌下來。Virtual Iron已把其企業(yè)產品的價格降到了每個插座499美元，從而進一步降低了準入壁壘。

值得一提的是，所有用戶都會得益于虛擬化技術，而不僅僅是大公司。功能強、成本較低的服務器證明了投資虛擬化技術是正確的，不管實施規(guī)模大小，譬如Sun Galaxy x4200、Dell PowerEdge 2950和HP ProLiant DL380 G5。另外，還有許多免費產品可以試用，譬如高可用性和動態(tài)負載轉移，VMware Server可以免費下載，限制版Virtual Iron也是如此。雖然這些免費產品缺乏企業(yè)特性，可能無法提供實際部署所需的特性，但它們無疑證明了這一點: 合并數(shù)據(jù)中心的時機已然成熟。

6 出錢保護數(shù)據(jù), 否則后果自負

要說今年你在哪個方面投入不足，那就是信息保護。

一家《財富》100強公司不愿透露姓名的CSO說: “數(shù)據(jù)加密問題要比大多數(shù)人談論的復雜得多。數(shù)據(jù)到處都是，未被識別，混合在一起。員工攜帶的個人移動設備或者家用電腦存放著機密信息，這顯然違反了企業(yè)政策，但許多人甚至不知道有這種政策。我與多家公司的IT安全領導人交談過，他們都告訴我，保護數(shù)據(jù)是其面臨的最大挑戰(zhàn)之一。不管是什么樣的安全解決方案，都存在成本高昂、無法面面俱到的缺點?！?

RSA公司負責企業(yè)解決方案的副總裁Dennis Hoffman也說: “管理人員認識到了這一事實，即IT安全是總體擁有成本管理不當?shù)牡浞?。長期以來，人們的重點放在基礎設施上，其實應當放在信息上。大多數(shù)IT領導人不知道自己的信息在哪里，這就根本沒法管理?！?

合并是一種全局性解決方案，不過許多公司在這方面沒有足夠的預算。Hoffman說: “我們經常談論服務器合并、數(shù)據(jù)合并、減少數(shù)據(jù)中心以及虛擬化技術，管理來自3個數(shù)據(jù)中心的信息要比管理來自23個數(shù)據(jù)中心的信息容易得多?！?

補丁管理是許多公司在2007年可能預算不夠的另一個方面。據(jù)賽門鐵克公司的專家稱，一個漏洞從宣布到相應補丁發(fā)布的天數(shù)平均是31天，而從漏洞宣布到惡意軟件發(fā)布的天數(shù)平均是3天，這樣暴露間隔就有28天。

應當制訂全面的補丁管理方案，并堅持執(zhí)行。據(jù)安全公司Secunia最近的測試表明，足足有35%的機器含有已知的應用漏洞。微軟的Automatic Update似乎管用，不過其他程序也需要補丁幫助。譬如說，F(xiàn)irefox瀏覽器在30%以上的時間里面沒有打補丁; 50%以上的Adobe用戶在運行存在漏洞的版本。

說到保護企業(yè)安全，最棘手的事情是不知道從哪些方面著手。那家《財富》100強公司的CSO說: “每年我們都竭力進行新的風險評估，確保資源分配到了所需的地方?！?

7 重視敏捷開發(fā)應用 

企業(yè)會在今年投入過多的資金用于開發(fā)整體式應用，這種服務器端開發(fā)涉及正式需求，還會占用幾十名（乃至幾百名）設計員、程序員和測試員。要是使用腳本語言、Web服務和SOA，把可以充分利用現(xiàn)有資產的基于瀏覽器的應用組合起來，大多數(shù)企業(yè)的處境就會好一些。

混合技術和SOA是推動軟件開發(fā)革命的兩個因素，人們開始摒棄使用C++編寫本地代碼，不再構建許多行C#和Java受控代碼。企業(yè)會聘請許多ASP.Net和JSP開發(fā)人員，但企業(yè)在獲得JavaScript、Perl、PHP和Ruby等技能組合方面可能花費過少。如果結合使用合理的框架和組件套件，最近流行的腳本應用就會把軟件開發(fā)小組變成企業(yè)IT部門中速度更快、成本更低、響應更及時的一支隊伍。

在前端方面，這意味著基于AJAX的用戶界面可以幫助員工提高工作效率。在后臺，基于SOA的混合應用可以消除大量的人工勞動，因為它能實現(xiàn)可靠、牢固、多對多的集成，可為多步驟事務提供可靠的性能、安全和支持。遺憾的是，許多企業(yè)在培訓及聘請開發(fā)人員方面的費用不夠多。

向使用腳本語言編程轉變的同時，也應當摒棄正式需求，進而向敏捷開發(fā)過程轉變。既要擁有精通敏捷開發(fā)技術的開發(fā)人員，也要具備扎實的項目管理技能。

2007年將被摒棄的還有傳統(tǒng)測試模式——代碼編完后才進行質量保證和安全驗證。盡管如此，許多公司還是會把大量時間和資金用于傳統(tǒng)測試，及通過打補丁來修補缺陷，因為沒有足夠資金用于在每個開發(fā)階段都進行嚴格的漏洞和功能測試。傳統(tǒng)的開發(fā)后驗證測試仍然有必要，但如果在整個設計和編碼過程中加入測試步驟，就可以大大縮短測試及修補周期，開發(fā)小組也能提高交付速度。 （ccw編譯）