从CIO的世界路过：该早发现IT后市场这条新赛道

21世纪，数字化爆炸的时代。

我们的世界已经被软件包裹得严严实实，我们的时间已经被软件填塞得满满当当。我们生活在手机的软件世界里，我们在软件里 交，在软件里叫车，在软件里购物，在软件里分享，在软件里理财，在软件里游戏，在虚拟的软件世界里了解物理世界的一切。

同样，我们工作在电脑的软件世界里。在电脑上办公，在电脑上沟通，在电脑上处理各种各样的业务——从创新、营销、财务到生产、物流、人事。软件已经成为我们每个人倾盖如故、不离不弃的老朋友。

但是有一类软件并不在大部分人的视野中。这类软件与机器打交道多而与用户打交道少，那就是IT专业人士用的IT服务管理软件。

如果把企业比作一个城市，IT服务就是企业IT的基础设施，保障企业的业务顺畅地运转，就像城市里的水电煤保障千家万户的生活便利。

01 企业IT服务的管理也存在王者段位？

在数字化时代，各行各业都须臾离不开软件，但IT服务却并不是每个企业的必需品。

比如，企业很小的时候可以以人治代替管理，企业越大，对IT服务的需求就越强烈，类似一个村子很难自己搭建水电系统，需要接入（租用）其他城市的水电系统；而很难想象一个大城市没有自己的水电系统。在IT上亦是如此。

成千上万人规模的企业，IT服务的管理会变得不可或缺。十万人规模的企业IT系统将会复杂无比，没有良好的IT服务的管理寸步难行。

举三个例子。一家零售企业，全国几千家门店，门店的设备 修需要及时处理，数据中心数以千计的IT基础设施需要随时监控，成百个应用程序需要定期发布。

一个电信企业，服务千家万户，搭建了IT的数字化高速公路，数字化道路需要时刻通畅，国道，省道，城道，还有到家的“最后一公里”（光纤入户）需要无缝衔接，流量计费需要准确无误，增值应用需要时时在线。

一家银行企业，自行开发几百个应用，预算需要仔细规划，项目需要按时完成，质量需要测试保障，应用需要发布升级，数据需要安全保密，服务需要随时监控，事件需要秒级排查。

所有的这一切，都需要IT服务来保驾护航。

02 CIO如何精准切入IT和IT服务的管理？

管窥蠡测，不见全貌。IT系统包罗万象，从存储到 络，从个人电脑到服务器，从私有云到公有云，从硬件到软件，从商业应用到安全合规，从数据库到数据仓库，从数据的获取到数据的分析。

如此纷杂繁复，CIO应从何处精准切入，才能实现企业IT服务的管理的最优路径？

企业IT组合管理

业务是企业的命脉。业务定义愿景目标，IT提供技术手段。业务决定IT，业务战略决定IT战略，业务需求决定IT需求，业务优先级决定IT项目优先级。

为发展业务，每个部门都会提出自己的需求，什么需求应该优先考虑？原理很简单。就像我们购物一般会考虑性价比，企业投入需要考虑投入产出比（ROI），产出价值要根据企业的战略优先进行加权评估。

如果即将考虑拓展欧洲市场，GDPR的合规项目就应该予以考虑。如果需要减少资本支出而代以运营支出，那按使用付费上云的项目就需要重视。如果业务发展得很好需要量产扩展，那扩容项目应该得到更多关注。如果刚经历并购，那精简应用可以优先。这种既定性又定量的假设分析就是组合管理（Portfolio Management），主要解决IT要以业务为导向，做正确的事。

企业IT项目管理

一旦确定了投资项目及预算细则，就需要严格确保项目落实。

比如，最小有价值产品（Minimum Valuable Product）是反馈检验和进一步迭代的起点。过了这村就没这店，如何保证项目按时完成因为投入是有时效性的，如何找到能力匹配的人员进入项目组，如何控制项目的风险和依赖，如何保障项目的质量，如何控制成本等等，这就要落实到具体的项目管理（Project Management& Program Management）上来了，也就是我们常说的正确地做事。

应用生命周期管理

无论是瀑布型（Waterfall）开发还是敏捷开发（Lean Agile Development），所有软件项目都需要用到管理开发的生命周期。从需求到设计，到编程，到测试，到集成，到打包，到最终发布。其中需求管理（Requirement Management）包含需求收集，需求分析，需求排序。质量管理（Quality Management） 包含测试案例的编写和缺陷的追踪。产品待办事项管理（Backlog Management）包含各级功能（Feature）和用户故事（User Story），开发流水线管理（Pipeline Management）用于支持开发人员持续集成和持续交付（Continuous Integration & Continuous Delivery）。

每一项可以细分再细分，每个细分都有相应的工具。比如测试包含单元测试（Unit Test）、接口测试（API Test），以及集成测试（Integration Test）和功能测试（Functional Test），还有性能测试（Resilience & Performance Test）、安全测试（Security & Penetration Test）等。

软件的发布管理

开发完毕的软件需要压缩打包，签发证书，发布版本，这就是发布管理（Release Management）。ISO标准要求一切可以追溯，管理系统就可以保留所有的历史记录以便日后审计。

部署与变更管理

经过严谨精密的部署管理（Deployment Management），发布的软件才能成为可以被用户使用的应用。这里需要根据应用对于业务的重要程度和数据的隐私敏感度做一个评估，比如安装在公有云还是私有云，安装环境的安全标准是否达标，是否仅在办公 络环境内使用VPN，所需资源配置是否跟预计用户量相匹配，所在 络的带宽和存储速率（IOPS）是否足以提供良好的用户体验，是否需要部署高可用性，数据库是共用还是专用，与哪些系统（比如登录和邮件系统）需要集成配置。

然后，进行影响分析（Impact Analysis），通过上线前测试（Staging Test），可以选择是否需要安排在某一个维护窗口期（Maintenance Window），经过评估批准就可以灰度发布或直接上线了，这就是变更管理（Change Management）。

服务目录管理

上线后用户使用前的最后一步则是服务目录管理（Service Catalog Management）。这时要考虑应用服务是免费还是需要定价，有多少选项，是否需要定义服务级别协议（SLA）。

一切就绪后，用户可以在企业门户上看到新服务。如有需要，用户就可以订阅并使用服务。订阅服务往往意味着成本，所以需要批准环节，有些企业还会根据使用情况进行成本分摊（Cost Allocation）。

请求管理

如果遇到问题，用户可以提交帮助请求。运维人员收到请求，会根据请求对业务的影响，参考预先定义的SLA在预定时间内提供服务，这就是需求管理（Request Management）。服务尽可能自动完成以减少人工干预，比如常见问题像重设密码。常见问题和解决方案可以发布成为知识管理（Knowledge Management），这样用户就可以通过模糊搜索或者智能助手（Smart Virtual Agent）完成自助服务（Self Service）。

事件管理

应用上线后需要进行随时监控。监控涵盖各种层面，从底层的服务器、 络、存储到数据库、应用，到用户的实际体验。一旦监控发现并判定为异常就需要事件管理（Event Management）。

自动发现与配置管理

事件与事件之间往往是有联系的，比如底层的存储异常会导致相关的数据库异常并连锁导致应用异常，最终导致用户体验的异常。相关的事件应该关联处理（Event Correlation）。然而在浩如烟海的IT世界里找到这些关联事件的问题症结不是一件容易的事。为了全面掌握整个IT应用和基础架构之间的拓扑关系以便分析互相之间的影响，需要自动发现（Automatic Discovery）和配置管理（Configuration Management）。自动发现对于某些关键应用往往需要毫秒级实时响应，配置管理往往需要管理上亿的项目和拓扑关系。从小小的CPU到庞大的主机，从看不见的IP地址到感受到的软件服务，从数据中心到公有云端，犹如卫星导航一目了然。

事故管理

事件如果短时间解决不了，就需要相关的专业人员及时抢修，因而升级为事故管理（Incident Management）。重大事故有特殊的流程和SLA，需要启动预先定义好的紧急小组和处理流程、备用方案（Mitigation Plan），响应时间和故障修复时间（MTTR）。

如果事故是由于不可抗力的灾害引起的，就需要异地的灾备恢复（Disaster Recovery），将数据和应用在另一座城市的灾备数据中心恢复启用。灾备恢复的速度是一个服务可靠性的一个重要指标。

问题管理

如果经常性发生事故，需要追根朔源（Root Cause Analysis）进行问题管理（Problem Management）。

如果发现系统缺陷（Defect），就要修改缺陷，发布新版本，根据变更管理部署新的发布。

开发人员的天然倾向是不断迭代，快速创新，频繁发布，而运维人员则需要管控风险，保障服务的稳定和安全。DevOps的理念就是为了打破开发与运维之间的壁垒，加强开发和运维之间的沟通与协作。

在实践DevOps原则的IT开发运维过程中，除了保持IT系统正常运转并有效控制成本，CIO还需要关心增值服务和安全合规。

管理良好的企业经年累月已沉淀了海量具有宝贵价值的数据，有结构化数据（Structured Data）比如数据库的数据，半结构化数据（Semi Structured Data）比如日志数据和非结构化数据（Non-Structured Data）比如文档视频。不仅有企业自身的，还包括客户关系数据和合作伙伴的相关数据。整体大于局部之和，链接数据孤岛、整合数据分析、挖掘大数据的价值，可以帮助企业更好地预测和决策。这就是IT的增值项。

企业IT安全管理

如今，安全合规（Security & Compliance）越来越受到重视。安全包含数据安全、存储安全、 络安全、应用安全、用户行为安全、身份识别和权限管理以及安全审计，这些都需要安全管理（Security Management）。

合规包含许多内容。比如软件许可证合规（Software Asset Management），既不要花冤枉钱——买多了，也不要无意间遇到法律风险——用多了。此外还有敏感数据的处理，数据备份的合规，第三方软件的使用合规等等。现在的趋势是业务部门掌握了很大一部分企业IT的预算，但业务部门往往不能有效评估安全合规的风险，需要IT部门进行督导（Governance）。

自动化管理

整个IT框架由开放组织（Open Group）维护，架构包含四大部分：从IT战略到项目组合，从IT需求到应用部署，从服务请求到服务实现，从问题发现到问题纠正。架构背后的体系看似庞杂，却可以通过专业的IT服务实现流程简化与人工成本的缩减。化繁为简的关键，就是自动化管理。

有些问题，比如安全漏洞是由于第三方软件甚至是底层操作系统引起的，需要在上万服务器和 络设备上打补丁时，没有自动化管理，就是碟中谍“不可能的任务”（Mission Impossible）。

系统构建的三重“境界”

看山是山：搭建起这一套复杂体系的建构过程

看山不是山：深入体系内部，对每个部件依次建模，是解构的过程

看山还是山：建模之后，一整套系统在自动化的赋能下有机地联动起来，从服务请求的实施，到事件的监管，到变更的分析和部署等等，一切变得简单、流畅且高效，这就是重构

03 企业级IT服务的关键之处

第一，面向企业用户而非消费者。

虽然我们可以用同一个框架抽象出企业的共同需求，但落实到具体实现仍然千变万化。一千个企业也许有一万种诉求，客户定制化必不可少；另一方面，如果定制化不加约束又会导致版本升级困难重重。平衡灵活的定制化和轻量级的升级的唯一途径就是无代码配置 （Codeless Configuration）。

第二，灵活的部署方式。

有些企业出于维护成本的考虑希望部署在公有云上，有些出于数据绝对安全的考虑，希望部署在私有云里，有些希望根据不同的情况部署到不同的云来分散风险。有些企业希望自己开发运维，有些希望外包给专业公司，有些希望使用SaaS服务。更有些企业可能需要在不同的阶段支持不同环境之间的灵活迁移。应用开发者需要综合考虑这些部署的灵活性，容器化（Container）技术对于灵活部署绝对是个利好。

第三，兼顾平台兼容和内容扩展。

随着技术的发展，IT需要支持的软件硬件会呈指数级增长，平台方面需要支持未来数量级的增长，内容方面需要与时俱进。比如，云技术的成熟要求云平台管理的内容相应更新，5G的出现会要求IT服务的管理支持新的 络协议和设备。

最后IT服务自身要能够像乐高玩具一样进行模块化组装，以适应不同企业的IT需要，并支持各个时代的各类异构IT硬件和软件。

IT服务最好的状态就是，你不知道它的存在，但它的影响无处不在，就像我们随手使用的水电煤，我们从不关心它是怎么来的，但它就在那儿。