CIO如何充分利用IT预算

据调查，2007年IT开支的增长率只有6.6%，其背后隐藏着相当大的变数。降低成本的日常措施及新出现的技术潮流让许多企业忙碌起来，开始在整个企业实施重大变革。IT资金在今年也变得活跃起来，往往从一个项目转移到另一个项目。在这种情况下，CIO如何分配资源很有可能加大企业整体项目的成功机会，也很有可能严重影响整体项目。利害关系实在太大了，你不敢往项目的一个方面投入过多，因为担心会影响另一个项目的正常开展。

今年，大多数CIO在支持业务方面可能投入过多，推动业务方面投入过少。这不足为怪，不过那些善于充分利用资金的公司，很可能把多出来的资金提供给旨在加快实现业务目标的新项目，从而提高IT对整个公司的总价值。

《InfoWorld》对分析师、专家和业界领袖进行了调查，以了解在事关公司成败的项目中，哪些方面投入过多、哪些方面投入过少。这7个方面是：SOA、法规遵从、安全、虚拟化技术、协作、网络和应用开发。

1.编制预算，确保SOA成功。

在过去的几年里，由于许多公司力求发挥Web服务的潜力，从而提高现有IT资源的价值，公司上下都在呼吁采用面向服务的架构(SOA)。不过与SOA相关的大多数活动仅限于讨论、调查、规划及小规模项目。

由于早期采用者已经从概念证明(POC)实施阶段进入到更可靠的部署阶段，而且后期采用者接受架构的转变，SOA开支在2007年会出现大幅上涨。不过，要是缺乏洞察力和先见之明，许多企业会把太多的资金用于在确保SOA长远成功效果不大的方面。

首先，太多的钱会再度用于炒作上。结果会发现，许多企业在玩“盲目跟从潮流”或者“按照杂志上的方法来管理”的把戏，而事实上，它们应当把心思集中在确定自身需求上。这意味着把过多的钱用于各种指导委员会、会议和概念证明，以至于妨碍了实际工作的完成。

更糟的是，由于许多企业还没有弄清楚自己的需求，就求助于厂商提供“一揽子SOA”，结果这些资金过多地用在了早期阶段。换句话说，他们还不知道准备在何处建造房子，就买下了房子。今年，推销治理和企业服务总线(ESB)的厂商会赚个盆满钵满。

其次，侧重于战略咨询将是2007年投入过多的另一个方面。战略顾问往往并不提供详细的执行方案，战略规划固然很重要，但实际工作要从确定需求开始，包括从语义、流程和服务层面来了解整个企业。据IDC调查显示，咨询开支在2007年会翻一番，达到55亿美元。

要是公司把更多的资金用于培训，也许会得到更好的回报。SOA既是一种技术转变，更是一种文化转变，要求IT人员在这两方面都要精通。如果没有合适的人员，就会带来高昂的成本，而更高昂的代价是不得不招聘新员工。

第三，安全将再次成为后来才想到的因素。现在过度缩减安全开支弥补不了将来可能会出现的损失。安全政策管理是一种概念，又是一套技术，这两方面都需要加以关注。发布服务是SOA的魅力所在，不过这在节省成本的同时，也会造成许多破坏。

最后，很少有公司会投入足够费用来认真关注新兴的Web，特别是软件服务化(SaaS)和Web服务这两个市场。许多企业级应用可以外包，或者外包给SaaS提供商(可以通过Web来使用)，或者作为直接进行抽象处理后加入到SOA里面的一组服务。的确，在编制预算的所有方面当中，利用新兴的Web也许会带来最大的投资回报。

2.权衡法规遵从的成本。

从《萨班斯-奥克斯利法案》、《健康保险可携性及责任性法案》到支付卡行业数据安全标准(PCI/DSS)，贵公司很有可能受制于众多的法规遵从要求。这些法规的目标很崇高，你的安全预算中用来支持这些目标的那部分数额也相当大，而在有些情况下，却妨碍了实施更可靠、更具体的计算机安全保护措施。换句话说，为了遵从法律条文而投入大笔费用，却很有可能把贵公司置于险境。

安全机构SANS Institute的主管Stephen Northcutt同样认为：“IT人员非常重视法规遵从，这其实是为了应对审查，而不是应对安全。我们想方设法满足一系列审查要求，但这些要求到头来保证不了、也评估不了实际安全。审查要求和法规往往过于宽泛，存在空白和重叠的地方。第一次审查结束后，小组改而采用另一种全然不同的方式，以满足下一次审查的要求，而这需要不同的目标。”

大多数公司受制于好几部行业法规，这些法规对安全定义的描述过于宽泛。至于你有没有通过某项审查要求，那完全取决于外部的审查人员。取悦审查人员与可靠的安全做法往往没有多大关系，这不足为怪。

某银行的IT主管说：“第一个审查人员说我们要使用至少6个字符的密码，另一个人却说密码至少要8个字符，而且要复杂。有些审查人员注重账户封锁机制，有些人却并不注重，但谁也没有问到影响密码总体安全的其他所有因素。实际上，法规并没有规定密码要使用多少个字符，只是规定了要确保密码安全。”

Bon Secours Health Systems的信息安全官Robert W. Hodges说：“如果我们面对两部相互冲突或者相互重叠的法规，就会为了稳妥起见，采取最保守、最安全的方法，从而满足两部法规的要求。”但总是采取最保守的方法意味着开支比较大，在许多情况下，从整体安全的角度来看也没有这个必要。由于法规往往是雷声大雨点小，所以CIO在投资法规遵从项目时就要弄清楚如何划定界限。毕竟，为了遵从法规而从其他切合实际的安全项目抽调大量的资金和精力，会为将来埋下祸根。

“不过你要看清大势，不能让政府抓典型。”Hodges说。

3.出钱保护数据，否则后果自负。

要说哪个方面你在今年肯定会投入不足，那就是信息保护。就总的计算机安全而言，2006年是平淡无奇的一年，没发生重大事情。但如果你在2007年寄希望于现状，你的预算就可能搭配不得当。

一家《财富》100强公司不愿透露姓名的CSO说：“数据加密问题要比大多数人谈论的复杂得多。数据到处都是，未被识别，混合在一起。员工携带的个人移动设备或者家用电脑存放着机密信息，这显然违反了企业政策，但许多人甚至不知道有这种政策。我与同样规模的另外多家公司的IT安全领导人交谈过，他们都告诉我，保护数据是其面临的最大挑战之一。不管是什么样的安全解决方案，都存在成本高昂、无法面面俱到的缺点。”

RSA公司负责企业解决方案的副总裁Dennis Hoffman也说：“管理人员认识到了这一事实，即IT安全是总体拥有成本管理不当方面的典范。长期以来，人们的重点放在基础设施上，其实应当放在信息上。大多数IT领导人不知道自己的所有信息在哪里，这就根本没法管理。”

合并是一种全局性解决方案，不过许多公司在这方面没有足够的预算。Hoffman说：“我们在谈论服务器合并、数据合并、减少数据中心以及虚拟化技术，管理来自3个数据中心的信息要比管理来自23个数据中心的信息容易得多。”

补丁管理是许多公司在2007年可能花费不够的另一个方面。据赛门铁克公司的专家称，一个漏洞从宣布到相应补丁发布的天数平均是31天，而从漏洞宣布到恶意软件发布的天数平均是3天，这样暴露间隔就有28天。

应当制订全面的补丁管理方案，并坚持执行。据安全公司Secunia最近的测试表明，足足有35%的机器含有已知的应用漏洞。微软的Automatic _update似乎管用，不过其他程序也需要补丁帮助。譬如说，Firefox浏览器在30%以上的时间里面没有打补丁;50%以上的Adobe用户在运行存在漏洞的版本。

说到保护企业安全，最棘手的事情是不知道从哪些方面着手。那家《财富》100强公司的CSO说：“我们有一些大的缺口，需要设法堵住。每年我们都竭力进行新的风险评估，确保资源分配到了所需的地方。”

4.服务器虚拟化技术削减成本。

2007年，不采用虚拟化技术的公司势必会投入更多的资金用于维护数据中心。能源日益紧张使得企业改用虚拟化技术，因为CPU行业的创新及竞争性技术日趋成熟，并已证明：服务器虚拟化技术可以大大减少能耗。

采用虚拟化技术的第二个原因是降低替换硬件的成本，尤其是在当前，许多企业进入了服务器升级周期的采购阶段。IDC分析师Frank Gens说：“IT公司采用服务器虚拟化技术后，可以把硬件成本减少1/4到1/2。”IDC预测，新部署的专门充当虚拟主机的物理服务器数量今年会增加52%。

对于已经采用虚拟化技术的用户来说，2007年会出现一大批虚拟化技术。到时，基于x86的服务器不会只是未来数据中心的一个选择，而是一个基础。厂商将专注于功能较强、成本较高的服务器，捆绑了VMware、Virtual Iron和Virtuozzo等平台，这些服务器的增长速度会超过捆绑了原始操作系统的服务器。低端服务器仍是一个选择，不过与大中型平台相比，会日渐失宠。预计8路服务器会获得新生：前几年由于成本高、软件开发商的注意力放在集群技术上，这种服务器惨遭失败。把一台8路服务器的价格分摊到几十个虚拟机上，可以更好地满足预算需要。

就许可费而言，VMware每个插座的价格都高高在上，不过竞争会促使价格在2007年跌下来。Virtual Iron已把其企业产品的价格降到了每个插座499美元，从而进一步降低了准入壁垒。另外，选择适当的时机进行逐步迁移，从而利用这个动态市场，还可以进一步节省费用。

值得一提的是，所有用户都会得益于虚拟化技术，而不仅仅是大公司。功能强、成本较低的服务器证明了投资虚拟化技术是正确的，不管实施规模大小，譬如Sun Galaxy x4200、Dell PowerEdge 2950和HP ProLiant DL380 G5。另外，还有许多免费产品可以试用，譬如高可用性和动态负载转移，VMware Server可以免费下载，限制版Virtual Iron也是如此。虽然这些免费产品缺乏企业特性，可能无法提供实际部署所需的特性，但它们无疑证明了这一点：合并数据中心的时机已然成熟。

5.充分利用新兴的协作方案。

长期以来，消息传送技术厂商为自己的软件添加了众多特性，希望提供综合性平台，可以满足每家企业的协作要求。今年，用户何不采用新兴的替代方案，以此组建适合自身特定预算和需求的协作环境呢?

大多数企业认识到，如果弃用大厂商的电子邮件许可证，可以节省费用，可是在安排会议方面，相关日历软件的空闲/忙碌安排功能却很难与之媲美。日历分布式创新和版本控制(CalDAV)旨在改变这种情况，这项标准面向可以兼容的日历安排功能。如果符合CalDAV的服务器和客户机被用户广为接受，用于许可证方面的费用就会减少，而且能把员工解放出来，不必使用电子邮件作为临时替代工作流的办法。

OC Tanner公司的IT主管Kelly Phillips说，借协作之名用于内联网和门户的费用大部分都浪费了。Phillips说：“我们投资组建了内联网，结果发现由于缺少协作工具和丰富的内容，这个内联网毫无用处。内联网到最后往往沦为内部的小册子软件，上面只有电话簿、自助菜单，可能还介绍销售支持或者人力资源方面的一些活动。从某些方面来看，我们添加的内容越多，内联网变得越没有用。”Phillips建议，应投资于企业搜索解决方案，为资源编制索引，而不是为各种内容提供一个集中地方。

尽管博客炒得很火，但作为一种协作工具，它尚未得到充分利用。博客软件也可以取代大多数邮件列表，这种列表往往会堵塞收件箱，妨碍电子邮件的高效使用。把低优先级的邮件移到RSS新闻源，并且鼓励使用新闻源阅读器，这能够以低成本方式提高生产力。

知识管理系统在2007年可能是开支过大的另一个部分。多渠道联络中心Sento的CIO Steve Fulling认为，Wiki(一种多人协作的写作工具)是值得尝试的另一种办法。Fulling说：“Wiki很好地满足了我们的要求，还能把省出来的资金用于其他更紧迫的项目。”

不过，加强协作的最重要项目也许与工具无关。无论是规划不当的电话会议，还是越堆越多却没人点击的电子邮件，你要是想当然地以为员工知道如何使用你发下去的工具，就会失去工作效率。事实证明，辅导员、教员和培训师对帮助员工进行有效协作起到了关键作用，不要在培训方面投入太少。

6.按需所取的网络技术最有意义。

千兆、VoIP和入侵防御系统(IPS)继续备受关注，有许多企业计划在2007年进行部署。不过，除非绝对有必要，否则这些方面可能会投资过多。

举例说，VoIP更像是拍打基础设施核心的小浪花，而不是像厂商们所希望的大浪潮。普遍采用的局面会出现，但如果公司对VoIP采用按需所取的方法，会从中得益。昂贵的实施成本，加上已安装到位的性能可靠的PBX，这些因素使VoIP成了“有机会更换时才更换”的一类技术，譬如办公室搬到新大楼，或者现有的PBX需要更换时，才改用VoIP。此外，许多PBX厂商支持添加到自身系统中的VoIP，让VoIP电话可以与传统电话集成起来，从而便于分支机构或者远程办事处的部署，不必连网络核心都采取淘汰并更换的做法。

千兆到桌面也是这样。虽然公司购买了配有千兆网卡的桌面系统，却把它们接入10/100 Mbps交换机。现在对更高带宽的需求根本不够大，用不着要求每个边缘交换机和上行链路都进行升级。如果公司没有采用按需所取的方法，而是在10/100 Mbps交换机老化后进行更换，可能会在千兆技术方面投入过多。

那些在2007年选购IPS的公司应当记住：许多管理员对这类系统持怀疑态度。更糟糕的是，这种系统带来的问题常常多于能够解决的问题。数量激增的病毒和蠕虫无疑让使用Windows的公司颇为头痛，但大多数IPS在配置及维护方面要求很高，解决方案本身的高昂成本就更不用说了，这让人对投资效益产生了疑问。

大多数公司与其花钱在网络核心或者边缘层面消除病毒和蠕虫，还不如在桌面和服务器层面消除病毒和蠕虫，尽管IPS其实应当放在网络核心或者边缘。

另外一个投资过多的热点是带宽。各大ISP提供的带宽之间仍存在严重的脱节，即使T1线路和T3线路的价格有所下跌。不管怎样，最终用户抱怨带宽不够是意料之中的必然结局，千万不要以为你可以让用户没有怨言。

7.得益于敏捷开发应用。

企业会在今年投入过多的资金用于开发整体式应用，这种服务器端开发涉及正式需求，还会占用几十名(乃至几百名)设计员、程序员和测试员。要是使用脚本语言、Web服务和SOA，把可以充分利用现有资产的基于浏览器的应用组合起来，大多数企业的处境就会好一些。

混合技术和SOA是推动软件开发革命的两个因素，人们开始摒弃使用C++编写本地代码、构建许多行C#和Java受控代码。公司会聘请许多ASP .Net和JSP开发人员，但它们在获得JavaScript、Perl、PHP和Ruby等技能组合方面可能花费过少。如果结合使用合理的框架和组件套件，最近流行的脚本应用就会把软件开发小组变成企业IT部门中速度更快、成本更低、响应更及时的一支队伍。

在前端方面，这意味着基于AJAX的用户界面可以帮助员工提高工作效率。在后台，基于SOA的混合应用可以消除大量的人工劳动，因为它能实现可靠、牢固、多对多的集成，可为多步骤事务提供可靠的性能、安全和支持。遗憾的是，许多企业在培训及聘请开发人员方面的费用不够多。

向使用脚本语言编程转变的同时，也应当摒弃正式需求、向敏捷开发过程转变。但告别大规模部署软件及一再发布测试版的公司在确保成功转型方面可能花费过少。既要拥有精通敏捷开发技术的开发人员，也要具备扎实的项目管理技能。

2007年将被摒弃的还有传统测试模式：代码编完后才进行质量保证和安全验证。尽管如此，许多公司还是会把大量时间和资金用于传统测试，及通过打补丁来修补缺陷，因为没有足够资金用于在每个开发阶段都进行严格的漏洞和功能测试。传统的开发后验证测试仍然有必要，但如果在整个设计和编码过程中加入测试步骤，就可以大大缩短测试及修补周期，开发小组也能提高交付速度。

预计2007年标志着桌面软件开发开始走向消亡，因为你可以在桌面上处理任何事情，所以基于SOA的服务器就能更好地处理工作，这对部署了Windows Vista的用户来说无疑是坏消息。

来源：CIO时代