尔顿+王旭
最近微信朋友圈里流传着一段名为“桌面进化史1980—2014”的视频,很符合我们这部分内容的立意,只可惜我无法将其“转帖”到杂志这种平面印刷物上。最开始的画面是一个稍显繁乱的办公桌面,居中一台IBM PC(第一台个人电脑的造型),旁边摆放着电话、计算器、传真机、地球仪、台历、词典、报刊杂志以及剪刀、胶水、透明胶等杂七杂八的物品,墙上还挂着相框、便签栏、信箱以及通讯录等物品……这段视频的内容就是随着年代的推进,桌面及墙上的物品越来越少,纷纷变成某种应用程序的图标钻进了电脑里,当然电脑的造型也从古朴的IBM PC逐渐演变为苹果MacBook的模样,最终桌面上除了一台笔记本电脑之外,只剩下一部智能手机和一副墨镜。
线索一:核心技术始终是商用PC发展的源动力
这段视频很形象地描绘出PC进化过程中的两大特点——功能越来越强大、外形越来越小巧,但这还不是我们所总结提炼的全部内容。我并不打算以编年体的方式来逐年回顾PC的发展历程,那样可能会变成一篇流水账,并不适合突出重点,同时读者也难以找到清晰的脉络。我们将通过以下几条线索——核心技术、瘦身节能、应用导向——来展开这部分内容。鉴于个人电脑诞生之初并没有消费应用的功能,而是发展到上世纪90年代才逐渐衍生出家用电脑的概念,因此我们还是以商用电脑作为PC进化过程中的主旋律来提炼总结。受限于个人的阅历以及从业经历,我没有信心带您从第一台个人电脑的诞生开始进行回顾,只能从我2000年参加工作真正涉足IT圈开始谈起。
而对于家用电脑的发展过程,则可以参考商用电脑的进化规律,再对比一下刚刚出现“多媒体电脑”概念时的产品造型和现在最有代表性的几种家用电脑的类型(液晶一体机、迷你PC、游戏PC),基本也就可以完整展现了。
说到核心技术,所有人都会想到AMD和Intel这两大芯片领导厂商,鉴于商用PC领域多年来一直都是英特尔处理器一统天下的局面,因此我们就以英特尔X86处理器的发展为线索来展开这部分内容。
2000年前后正值国内第一次互联网热潮,PC迅速地普及到各行各业。当时英特尔公司的桌面级处理器还处于Pentium Ⅲ时代,制造工艺正在由250纳米向180纳米进化,处理器的封装形式也从硕大的Slot 1转向了小巧的FC-PGA。在我的印象里,品牌电脑在2000年里很少有几款能达到1GHz的主频,128MB的内存配置在当时已经属于主流规格。
从2001年开始,Intel Pentium 4处理器逐渐崭露头角。在它之前,曾有一款核心代号为Tualatin的产品已经将桌面级处理器带入了130纳米的制造工艺阶段,但是在英特尔公司的产品部署中,仍然是180纳米工艺的Pentium 4处理器成为了大统的继任者。尽管Pentium 4处理器在上市之初并不受PC厂商的信任,可英特尔公司还是凭借着强大的实力和坚持的态度将其推广开来;当然,这个摘取成功果实的Pentium 4处理器已经是第二代基于Northwood核心的产品,制造工艺也达到了130纳米,因此在运算性能和量产成本上都有了明显的改善,从2002年开始渐渐成为台式机的主流配置。
2004年年初,基于Prescott核心的Pentium 4处理器问世,标志着处理器制造工艺进入了90纳米的阶段。按理说,制造工艺的进步以及EM64T、SSE3指令集、虚拟化等新技术的引入,这些都是积极因素;可是处理器封装方式的改变、命名规则的调整、规格杂乱的产品(诸如533MHz/800MHz/1066MHz不同外频的产品并存、1MB/2MB不同二级缓存容量的产品并存、支持/不支持超线程技术的产品并存、Socket 478/LGA 775不同封装形式的产品并存)在市面并存,也导致英特尔桌面级处理器处于最混乱的两年,纵然是我们这些整天和CPU打交道的专业媒体编辑,也难免会感到困扰。也正是从这段时间开始,PC厂商渐渐意识到电脑应该是以应用为导向,一味地追逐最新的核心技术并不能完全体现PC本身的价值,以联想扬天为代表的一部分商用电脑正是在这种背景下开始了应用层面的自主技术创新,这是后话暂且不提。
尽管英特尔公司在Pentium 4处理器问世之初,曾经号称其Netburst架构可以达到10GHz的主频,实际上它在4GHz主频时就已经遭遇了瓶颈,超高功耗带来的散热问题成为了Pentium 4处理器提升主频过程中不可调和的矛盾,英特尔公司终于也承认了一味追求处理器的主频是一条错误的路线,于是将设计思路转向了多核心的方向,同样基于90纳米制造工艺的第一代Pentium D双核处理器(核心代号为Smithfield)应运而生了。实际上,Pentium D处理器就是将两颗Pentium 4 Prescott核心封装在同一颗芯片里,它们各自拥有独立的1MB二级缓存,却共享800MHz的前端总线;虽然90纳米的Pentium D处理器的确是一款货真价实的物理双核心产品,但是其规格明显揭示了它只是一款仓促上马的产品这个不争的事实,用意就在于填补Pentium 4处理器难以继续提升主频的这段空白期。即便是2006年年初问世的第二代Pentium D处理器(核心代号为Presler,采用65纳米制造工艺),仍然没有摆脱Netburst架构,也就是说不会比Smithfield核心的Pentium D处理器有明显的频率提升,主要还是靠制造工艺提升带来的更多晶体管集成数(通俗点说也就是更大的缓存容量)来实现运算性能的提升。当然,也有一些可喜的因素——英特尔从Pentium D处理器开始引入了一些移动平台的技术——例如增强型SpeedStep技术(简称EIST)和增强型空闲电源管理状态转换(简称C1E),更加注重对处理器功耗的控制。从这个时期开始,英特尔公司开始强调“性能/瓦”的概念,产品策略从一味追求运算性能转向了更加注重能耗比的发展方向。比起下游的PC厂商来说,英特尔公司的节能减排意识至少要早了一两年。endprint
对于商用计算平台来说,处理器的博锐计算技术更新换代固然是带动PC产业发展的一股动力,但是并非每一代的处理器都能产生划时代的意义,比如近十年来真正能给最终用户带来深刻印象的无非就是奔腾、酷睿这几个有限的商标,并不是每个用户都会去关注自己的办公电脑配备了几核的处理器、具有多大的缓存等等;商业客户往往更在意办公平台的安全性、可管理性等环节,具体到每台客户端的运算性能指标,则是第二位的需求。英特尔公司在迅驰移动平台上取得了成功之后,又在家庭娱乐领域和商务办公领域相继推出了平台化的概念,2006年4月发布的博锐(vPro)计算技术就是针对商用计算领域的一种平台化方案,可以说博锐平台的诞生,对于商用计算领域的意义要远远大于每一次处理器架构的改变或者制造工艺的进步。为什么要这样说,下面我们就对博锐平台的技术规格以及功能特性做一个详细的介绍。
博锐平台定位于大中型企业和有较强IT需求的小型企业,旨在为用户提供更好的远程管理能力和安全防护功能,而这正是IT维护人员所迫切需要改善的两个环节。对一些企业IT人员的调查结果显示,当前面临的重要IT挑战包括以下几点:
● 电脑恶意攻击的显著增长;
● 迫切需要缩短由恶意攻击、电脑故障,以及维护、升级和其它IT任务所引起的用户停机时间;
● 准确盘点资产的财务和法律压力;
● 对于大幅占用IT预算的IT服务的需求不断提高
针对电脑的纯软件管理和安全解决方案已无法在基本限制范围内取得效果:它们无法管理或保护关闭或操作系统出现故障的电脑。若想让IT人员借助现有资源从事更多工作,最重要的能力便是使其能够在任何电源或操作系统状态下远程管理并有效保护电脑。
采用英特尔博锐技术的台式机专门设计用于应对可管理性和安全性方面的首要IT挑战。这些电脑可提供简单的远程管理和防篡改安全能力,因而IT人员能够在需要这些功能的地方—IT控制台拥有更多控制能力。采用英特尔博锐技术的电脑可支持的能力包括:
● 资产盘点。IT人员现在可以查找所有采用英特尔博锐技术的电脑,即使其关机或失灵也不成问题,由此IT人员可确切了解需要管理或保护哪些系统。
● 软硬件盘点。IT人员可以跟踪并盘点电脑上的软硬件资产,包括版本信息等-即使系统关机或操作系统出现故障也没关系。例如,软件资产信息包括版本文件信息,而硬件信息则包括基本输入输出系统( BIOS)设置,以及硬盘、内存、插卡和其它组件的制造、型号和保修信息。
● 远程解决问题。无论电脑电源状态或操作系统状态如何,IT人员均可远程诊断并解决更多问题,从而降低现场访问的成本、延长用户正常工作时间并节省IT资源用于新的服务。
● 基于硬件的强大安全性。IT人员可借助包括虚拟化在内的两个全新安全层来保护系统,从而可在需要时随时使用第三方安全软件,并可更快识别和有效阻止病毒、蠕虫和其它各种威胁。
● 更高性能。这些电脑基于一流的英特尔酷睿微体系结构,可提供改进的多任务处理和多线程能力,从而显著提高性能。IT人员现在无需中断用户应用即可在后台执行病毒扫描程序、电子邮件同步、备份和其它任务。
● 高效节能。先进的架构和封装设计技术可以更有效地利用能源,从而减少这些高性能电脑所产生的不必要的热量,以及所需的冷却工作。
结合第三方软件解决方案,英特尔博锐技术可支持IT人员避免大量的现场访问,减少对现有资源的过度使用,并将工作重点从管理电脑转到探索全新服务和战略计划上来。
远程通信,防篡改内存
通过在采用英特尔博锐技术的电脑上运行第三方软件解决方案,IT 人员能够在任何电脑电源状态或操作系统状态下更加轻松地管理和保护电脑。这项工作通过将英特尔主动管理技术(英特尔AMT)和其它先进技术直接融入平台硬件中来实现。
以下两项英特尔AMT能力对于远程IT任务尤为重要:
● 授权IT人员始终可用的安全通信信道;
● 可以安全存储第三方应用信息的永久非易失性内存。
远程通信信道
过去,在企业网络中,管理和安全软件只有在电脑开机(“带内”)及其操作系统正常运行的情况下方可与电脑进行通信。由于这些纯软件解决方案与操作系统的安装级别相同,因而其管理代理可以被篡改。此外,这些解决方案使用的基于软件的带内通信信道并不安全,因此通信保密性也是一个问题。
相比之下,英特尔博锐技术可为您提供两条与电脑通信的途径:
● 传统的、不受保护的通信信道,通过操作系统中的软件堆栈发送网络流量。
● 更安全的、基于硬件的通信信道在操作系统“下方”运行,不受操作系统状态的影响。这种“带外”信道通过内建于英特尔AMT硬件和固件中的堆栈发送网络通信。即使电脑关机或操作系统出现故障,经授权的IT人员仍然可以应用该通信信道。由于英特尔AMT通信信道基于硬件,因此只要电脑接入电源并连接至网络,IT人员便可以随时对其进行访问。即使操作系统出现故障,该信道仍可支持关键系统通信(如告警)和操作(如远程启动)继续运行。
IT人员现在可以在电脑或其操作系统处于任何状态的情况下,进行检修、诊断和修理工作。他们可以随时查阅事件日志、检查BIOS设置、访问硬件资产信息以及检查安全与管理代理的状态。可以在非工作时间对设备进行轮询,电脑甚至能够在关机的情况下向IT人员发送关键的系统告警。可以从IT控制台远程启动系统,并可在电脑操作系统崩溃的情况下远程重启、重建和修复故障电脑。
永久的非易失性内存
管理电脑的重要挑战之一便是获取以下信息:即在电脑关机、重新配置、重建或失灵时通常会丢失或不可用的信息。
为了解决这一问题,英特尔博锐技术可在运行于该操作系统下的执行环境中提供更安全的非易失性内存。这一非易失性内存可防止黑客、病毒、蠕虫和其它安全威胁篡改信息。endprint
非易失性内存可分为以下三个主要区域:
● 针对已签名并加密的英特尔博锐技术管理引擎和英特尔AMT所用信息的存储区;
● 针对在每次加电自检(POST)运行时自动更新的硬件资产信息的存储区;
● 可由经授权的IT人员进行配置,供第三方软件保存安全性、库存和其它重要信息(或信息指示器)的存储区。
现在,IT人员无需“唤醒”系统即可随时使用重要的系统信息。同时,数据还可在操作系统构建、重映像和重配置过程中持续存在,从而进一步简化维护和灾难恢复工作。
防篡改的通信与内存
即使采用英特尔博锐技术的电脑关机,只要系统仍然插入电源并连接网络,该电脑的管理引擎便不会关闭。经授权的IT人员仍然可以访问该电脑。
管理和安全能力嵌入到了电脑平台的硬件设计中。此“固件”代码经过签名、加密并存储于非易失性内存中,且对于该空间的访问由访问控制列表(ACL)进行控制,以帮助防止未经授权的用户、黑客、病毒和其它威胁访问该区域。(第三方数据未在非易失性内存中进行加密,但对于该数据的访问通过ACL进行控制。)同时,从网络到管理引擎的通信通过传输层安全(TLS)和相互端(mutual-ended)HTTP身份验证得到保护,以帮助防止互联网协议(IP)欺骗行为。
借助这些基于硬件的措施,即使电脑关机或其操作系统出现故障,也仍然可以保障通信信道的机密性和身份验证,以及所存储信息的安全性。
简化远程管理
平均而言,在任意指定时间美国企业无法发现的电脑资产高达20%或更多,而海外企业“丢失”资产的比率甚至更高。即使借助出色的资产定位应用和程序,IT人员也仍有5%的资产无法找到。目前,对于准确电脑盘点的需求日益迫切,尤其体现在查找那些关机或操作系统失灵的电脑方面。
资产盘点:远程查找系统
一般而言,以下几种情况会对电脑盘点的准确性造成影响:
● 由于在重建之后无法保留关键的系统信息,因而很难找到已升级或重映像的电脑;
● 由于用户、黑客和病毒往往会禁用管理代理,因而无法识别系统并恢复其一致性;
● IT人员可能未发现添加到网络的新系统,从而无法在电脑获取网络访问权之前将公司政策应用于这些新系统,这种情况会导致其它电脑易于遭受网络内部的恶意攻击;
● 纯软件解决方案无法找到关机或失灵的电脑。
借助英特尔博锐技术,IT人员现在能够以远程方式准确地盘点所有电脑。即使第三方管理代理损坏或从系统中丢失,此项能力依然奏效。
对于采用英特尔博锐技术的电脑,盘点能力甚至可在安装管理代理之前应用于准系统电脑。例如,一个企业可能购买并安装了 20 台新机器,但在将其接入网络之前却忘了通知IT人员。由此,一系列不一致的机器会立即使网络暴露在各种安全威胁面前,然而由于未安装管理代理,因而无法对其进行远程管理,IT人员连电脑都无法识别,更不用说推出各种安全补丁了。
通常在这种情况下,技术人员会到达现场来安装支持远程管理的第三方软件代理。借助英特尔博锐技术,将无需进行现场访问。相反,只要将电脑插入电源并接入网络,IT人员便可立即对其进行轮询。当第三方轮询软件识别出网络上不一致的机器时,IT人员将即时获得告警。随后,IT人员可从IT控制台远程启动该机器,甚至还可在安装库存代理之前就读取硬件资产信息,并将适当的管理、安全性和其它第三方应用推送至新电脑—所有这一切均可从IT平台上轻松完成。
针对电脑资产的软硬件盘点
当前,企业在了解以下信息方面承受着巨大的压力:即需要支付多少软件授权费,在维护合同方面需要保留多少软件和硬件资产,哪些资产需要重新认证,以及哪些资产需要更新、保护和/或升级。遗憾的是,已卖掉、丢弃、丢失或报废的资产不能从维护合同或授权清单中自动移除,这种情况会导致对一些资产的估计不足和对其它资产的过度购买。平均说来,当前企业在资产维护和授权服务方面的费用超支达两倍。
采用英特尔博锐技术的电脑可通过支持第三方管理应用和/或IT控制台使用以下三项重要能力来减轻IT人员的软硬件盘点负担:
● 将资产和其它信息(或资产信息指示器)写入永久性内存中;
● 随时轮询系统以获取资产信息;
● 启动关闭的电脑,由此IT人员将能够执行任何必要的盘点任务,并远程关闭电脑至用户离开时的状态。
现在可以减少单调乏味的人工盘点,从而显著节省劳动力成本。未使用的软件授权可适当地再分配给其它资源,同时还可以更好地利用硬件资产和更好地管理保修服务。同时,企业还可充满信心,确信其审计工作符合政府的规定。
用于解决问题的远程管理
IT目前最迫切需要具备远程解决电脑问题的能力,尤其是在系统关机或操作系统崩溃的时候。行业研究表明,在一般企业中,现场与服务中心维修次数仅占电脑维修总次数的20% ,但却会耗费80%的预算。实际上,现场维修的成本是远程维修成本的7倍。根据英特尔对44,000份故障单的研究,如果IT人员能够具备更高的远程解决问题能力,则可以节省大约40%甚至更多的现场与服务中心维修成本。
远程解决问题历来都比较困难,部分原因在于启动方面的故障通常会导致成本高昂、易起反应的管理操作。费时的现场诊断还会延长用户的停机时间,而且现场访问使IT人员不能同时处理其它事务。当问题可以被远程诊断或解决时,即便是通过电话指导用户排除故障也会被认为是不方便和低效率的做法。
采用英特尔博锐技术的电脑可以显著减少 IT 的现场访问次数,提供强大、安全、基于硬件的工具远程解决问题,即便电脑已关机或操作系统已经崩溃:
● 通过集成电路设备重定向(IDE-R)远程启动电脑,这比局域网唤醒(WOL)和预执行环境(PXE)更强大也更安全。endprint
● 不间断的事件日志,IT人员可以了解问题发生前的迹象,如电源电压变低或温度区过热等。
● 始终可用的资产信息,该信息位于安全区内,经过授权的IT才可以获取有助于远程排除故障、诊断和维修电脑的软件版本信息、及硬件生产、型号与保修信息。
● 通过局域网串行(SOL)实现的远程控制台重定向。
● 基于政策的告警,完全符合工业标准,专门针对平台硬件传感器、硬件故障、操作系统锁定和平台启动故障等。
操作系统无法运行通常需要IT人员亲临现场进行重启或重新安装。英特尔博锐技术现在可以让IT人员远程解决几乎所有的操作系统问题。例如,如果操作系统无法运行,IT人员可
以使用安全的IDE-R改变系统的启动路径,即使用CD或远程网络驱动器(如安全服务驱动器)上的映像来启动。然后IT人员可以建立远程控制台对话(使用SOL),逐步排除设备的故障。如果用户应用软件无法运行,技术人员可以远程重新映像用户的硬盘,通过映像文件恢复用户的数据,覆盖被损坏或存在问题的文件。用户最终能够以最快的速度和效率恢复系统并正常使用。
过去,当硬件组件(如硬盘)出现故障时,用户需要致电IT人员,然后技术人员来到用户所在地,有时候需要反复几次——诊断问题、寻找部件的生产和型号信息、安装新部件、及费时的重配置等。在使用采用英特尔博锐技术的电脑时,IT人员能够及时、甚至能够先于用户通知之前,接收系统组件出现故障的系统告警。然后IT人员远程获取更换组件的生产、型号和保修信息,并从库存中寻找合适的组件,从IT控制台重新映像驱动器。技术人员只需到现场一次:安装全新的硬盘并帮助用户恢复系统和运行。
采用英特尔博锐技术的电脑的所有系统告警均被记为事件日志,存入非易失性内存。授权IT人员可以随时访问安全的事件日志。第三方管理应用确定哪些告警可以同时发送至IT控制台和/或哪些将可以触发一项操作(如立即的资产轮询)。这样IT人员就可以指定接收的告警类型,因此重要性不高的告警就不会明显增加网络的流量,同时在系统受到安全威胁或出现问题时,优先级较低的告警也不会丢失。
管理混合环境
英特尔博锐技术内建的管理能力可以让您逐步部署或集成该技术。采用英特尔博锐技术的电脑使用的管理控制台和通信机制与其它电脑相同,因此移植到远程管理环境的操作十分轻松简便。
提高安全性
目前企业最重要的挑战是如何保护电脑免受恶意的攻击。即使是最好的纯软件解决方案也不能完全管理或保护已关机或操作系统已崩溃的系统。
三层防护体系
英特尔博锐技术为IT人员提供了两层基于硬件的全新安全能力,以防止恶意的攻击。现在IT
人员已经拥有三层防护体系,其中包括:对出入网络的流量进行硬件过滤,对第三方代理的“心跳(heartbeat)”存在检查,受保护的内存区域,及其它主要能力。
● 第一层系统防护:过滤威胁并隔离电脑。基于硬件的可编程过滤器会检查电脑网络流量来识别威胁,同时基于硬件的“开关”可以断开网络数据路径(或设置速率限制),以更快速地遏制该威胁的蔓延。
● 第二层系统防护:第三方软件安全代理。基于硬件的能力可以提供电脑的远程可见性、安全代理的持续存在检查(“心跳”),以及预启动BIOS设置访问,即使安全代理出现故障或系统操作系统受损或崩溃也没关系。
● 第三层系统防护:非易失性内存和专用环境。即使威胁渗透其它防护,IT人员现在可以访问用于保护关键信息的永久性内存。此外,IT人员还可以使用独立的专用虚拟环境来智能地检验、隔离和管理用户操作系统中的应用和数据。
这些全新的防护层使IT人员可以更迅速、更轻松地发现存在的威胁,并有效阻止其蔓延。
过滤威胁并隔离电脑
基于软件的安全应用一般通过操作系统上面的代理来保护电脑的安全。这种方法的主要问题是,用户、黑客和病毒可以移除或禁用安全代理和告警,制造严重的漏洞。当系统出现故障或响应迟钝时,IT人员总是不能远程更新或实施一致性操作;如果其它管理代理也被禁用,甚至不能查找电脑。
英特尔博锐技术可以支持第三方软件:
● 在威胁到达操作系统前发现更多的威胁。
● 更迅速地隔离故障系统。
● 确保安全代理的正常运行。
英特尔博锐技术为IT提供了用于检测网络流量行为的可编程硬件过滤器。这些过滤器可检验进出操作系统软件堆栈的数据包。现在,电脑自身可通过实施IT政策来过滤进出的操作系统流量,从而帮助遏制威胁。过滤通过检查数据包标头内的来源、目的地和端口地址来进行。由于过滤器是可编程的,因而管理软件能够定义由被禁止的数据包行为(如记录告警、向IT人员发送告警、启动威胁遏制(threat-containment)“开关”等)所触发的事件。
当硬件过滤器识别出未经授权的数据包行为后,采用英特尔博锐技术的电脑可断开其操作系统的网络通信,从而遏制威胁。电脑可在网络流量真正进入操作系统前,就在操作系统软件堆栈断开网络数据路径。系统还可以设置网络流量的速率限制,以帮助IT探查潜在的威胁。IT人员仍可以通过基于硬件和固件的内建通信堆栈与电脑基础硬件进行通信。之后,IT人员可使用修复软件来纠正问题,使电脑重新回到企业网络中。因为只关闭了操作系统网络通信,用户应用(如文字处理和电子数据表)仍可运行,所以用户的正常运行时间不会受到影响。
以前,IT人员一般使用串行轮询(serial polling)来检查安全代理的运行状态。采用英特尔博锐技术的电脑在管理引擎中内置了一个定期、可编程的“心跳”存在检查。“心跳”使用“看门狗”计时器,这样第三方安全软件(或其它关键业务应用)就可以在可编程的一秒钟间隔内向管理引擎进行登记,确认其运行状态。代理每次登记时都会重置自己的计时器。如果代理在计时器到点之前未完成登记,则可以认为代理已被移除、破坏或禁用。然后管理引擎可以自动并立即记录告警并通知IT控制台。一台采用英特尔博锐技术的电脑可以监视多达16个不同的代理。通过基于硬件的“心跳”检查,电脑本身可以帮助提高存在检查的可靠性,而且有助于将软件漏洞的存在时间从几小时缩短到几分钟,从几分钟缩短到几秒。endprint
由于采用英特尔博锐技术的电脑可以反应性地隔离并阻止自己接入网络,因此它可以防止威胁向其它电脑进行蔓延。在这方面,采用英特尔博锐技术的电脑就像是其它电脑的缓冲区,有助于保护那些没有采用英特尔博锐技术这一先进硬件安全能力的系统。
采用英特尔博锐技术的电脑使用的管理控制台和通信机制与其它电脑相同,因此IT人员在部署采用英特尔博锐技术的电脑时不需要改变管理控制台的设置。无论电脑的电源状态如何均可以网络安装更新和补丁在英特尔博锐技术问世之前,IT人员不能远程向关机的电脑安装更新程序。相反,IT人员只有在它们再次启动后才能进入—这一过程使许多存在漏洞的系统均长时间地暴露在危险中。
目前有几种方法可用来唤醒电脑安装更新程序,但是这些方法均不安全,或者只能在操作系统正常运行下才能发挥作用。对于采用英特尔博锐技术的电脑,IT人员可以通知系统启动(或关机)。无论系统是否通电或操作系统的状态如何,安装更新和补丁程序的操作均可远程安全地进行。IT人员现在能够:
● 检查电脑的软件版本信息并查看是否需要更新,这两项操作均不必唤醒电脑。
● 从IT控制台远程启动电脑,这样在维护一开始即可将更新程序安装至原本已关机(或处于睡眠状态)的系统。
采用英特尔博锐技术的电脑可以让第三方应用在永久性内存中存储版本和文件信息,因此经过授权的IT人员可以随时查看一致性信息。如果轮询代理发现软件已经过期,则第三方管理应用可以远程关闭电脑,安装更新程序,然后远程将电脑恢复至原来的电源状态:如开机、关机、休眠或睡眠状态,这样就不会改变用户离开电脑时设置的电源状态。IT人员便可以使更多管理工具操作实现自动化,并确保采用英特尔博锐技术的电脑保持一致性。
专用虚拟设备
对于采用英特尔博锐技术的电脑,虚拟化能力内建在系统的硬件中。第三方软件厂商现在可以利用这些能力来构建独立的虚拟化环境或“虚拟设备”,帮助管理和保护电脑。IT人员现在可以选择使用专用工具来简化和提高端点(endpoint)电脑的可管理性和安全性。
传统的虚拟化
虚拟化技术并不是件新事物。这是一项业经证明的技术,可支持IT人员隔离和管理关键业务应用、操作环境和信息—即使所有这些都安装于同一台电脑上也不成问题。这有助于改进对管理和安全应用完整性的信任度。到现在为止,电脑虚拟化已主要成为了重要的微生态环境模式,特殊用户希望在此运行一个以上的操作系统。例如,帮助中心的技术人员可以使用分区电脑来为采用Windows和Linux操作系统的用户提供支持。可能需要软件开发商为同一操作系统的两个版本维护代码。或者,在操作系统移植期间,可同时安装新旧两种操作系统,以便重要用户继续使用传统应用。传统的电脑虚拟化既“重”又昂贵。它意味着要在每个分区构建整个“虚拟电脑”,从下层沉重、复杂的操作系统,直到上层一整套全特性用户应用。这将需要上百万串代码,并将为IT人员带来另一台电脑的所有维护问题。此外,由于管理和安全代理仍安装于分区操作系统的内部,因而它们很容易受到普通操作系统故障的困扰。
针对主流使用简化虚拟化
对于采用英特尔博锐技术的电脑,虚拟化能力内建在硬件中。IT人员可以使用这些强大的系统,在同一台机器上实现多个操作系统传统、有效的重量级(heavyweight)虚拟化。实际上,领先的重量级VMM已针对这些电脑优化了其应用。然而,尽管少量用户仍需要电脑上的重量级虚拟化,英特尔的目标是为主流商用电脑提供虚拟化的优势。为此,英特尔致力于打消IT在可管理性和安全性方面的顾虑。英特尔与领先的第三方软件提供商正在密切合作,以便为IT提供完善、独立的轻量级解决方案来实现管理和安全应用的虚拟化。这些轻量级解决方案将可以使IT同时运行用户操作系统和“服务”操作系统。IT现在可以从专用的防篡改空间为用户操作系统和网络提供关键服务。
何为虚拟设备?
虚拟设备是专用于特定功能(如可管理性和安全性)的独立操作环境。它包括专用功能应用代码、相关的瘦嵌入式操作系统和指定的驱动程序。设备在用户操作系统外部运行,因此用户不能看到它,可以防止篡改。它处于授权IT人员的控制之下。该设备就象用户操作系统和网络之间的网关。它负责向用户操作系统提供服务,是所有网络通信经由的网关。例如,如果该设备检测到网络流量有问题或背离了IT政策,它可以支持与其它第三方安全或管理应用
相同类型的高级补救。这些响应包括告警、将用户操作系统与网络隔离、管理代理的完整性校验或部署本地补丁等。
高级可管理性和安全性
虚拟设备最重要的优势之一便是,它驻留于只需少量支持或维护的专用空间内,但仍可提供第三方安全或管理应用的高级功能。例如,为帮助保护端点,安全虚拟设备可以在网络数据包传输至操作系统(在此处用户应用可能受到影响)之前,智能地检测网络流量是否存在恶意封包内容(malicious payload)或可疑的入侵尝试。当虚拟设备发现问题或背离IT政策的情况,它可以采用高级补救方法。这其中包括前瞻性告警、有选择的隔离特定通信端口、硬件或软件盘点、BIOS配置重置,或部署关键更新等。由于该设备就是其自身的嵌入式操作系统,因而它能够根据一系列不同的响应进行编程。
与用户操作系统隔离
为处于IT的控制之下并预防威胁,虚拟设备与用户操作系统完全隔离开来。特别是,用户操作系统不在硬件的直接控制下。相反,用户操作系统通过虚拟网卡(NIC)进行网络访问。物理网卡负责处理用户操作系统中虚拟网卡与将通信传送到企业网络的硬件网卡之间的流量。与硬件相隔离的用户操作系统和虚拟设备在轻量级虚拟监视器(VMM)的顶部运行。VMM作为另一套硬件行动—它象仿真器一样提取针对操作系统的硬件。轻量级VMM使用户操作系统及其应用确信,用户操作系统“拥有”整个硬件平台。在这些电脑中,用户并不能看到虚拟设备,它处于授权IT人员的控制之下。endprint
虚拟化兼容其它技术和第三方解决方案
英特尔与市场上领先的安全和管理性厂商展开了密切合作,以确保第三方应用充分利用英特尔硬件虚拟化的强大能力。例如,第三方厂商可以将轻量级VMM、嵌入式操作系统、应用和英特尔的虚拟化网卡驱动程序集成到其软件解决方案中。由此将为IT带来一款易于实施和使用的交钥匙解决方案。标准的内存卡、存储卡和显卡均可与虚拟化技术结合使用。采用英特尔博锐技术的电脑还可以运行商业化操作系统和应用,而无需IT人员执行专门的安装步骤。
最后,基于硬件的虚拟化技术设计用于结合并补充其它先进的英特尔管理和安全技术,如英特尔主动管理技术等。
与迅驰移动计算技术类似,博锐平台的组成部分也是随着核心技术的发展而不断更新的,只是它并没有被直接命名为博锐一、博锐二、博锐三而已。在上文对于博锐平台的详细介绍中就可以看出,芯片组集成的主动管理技术和处理器提供的虚拟技术就是博锐平台的核心组成部分,Intel Q系列芯片组就是博锐平台的标准配置,例如Intel Q35/Q45/Q57/Q67,因为它们都提供了对英特尔主动管理技术的支持。而处理器自Pentium D之后已经全部内嵌了虚拟化技术(只有少数低端产品会省去VT),因此只后的每一代酷睿处理器搭配相应的Intel Q系列芯片组平台,都构成了新一代的博锐平台。
2006年6月Core架构的问世堪称是英特尔X86处理器发展道路上的一个里程碑,在此之前NetBurst架构的发展已经明显遭遇了瓶颈——尽管制造工艺从90纳米进化到65纳米,但是Pentium D处理器功耗过高的问题却没得到明显的改善,4GHz基本已经成为NetBurst架构的频率极限,10GHz的Nehalem计划只能胎死腹中(老外也喜欢放卫星啊)。Core架构的诞生,彻底解决了英特尔处理器散热量过高的问题,也标志着主频至上的策略从此被“每瓦性能”的策略所取代。第一代Core架构的桌面级处理器核心代号为Conroe,这两个单词的发音对于不懂英语的人来说比较容易混淆,因此在电脑卖场里经常能听到商家称其为“扣肉”。而处理器的正式命名Core 2 Duo也让人感到莫名其妙——明明是第一代Core架构的处理器,为什么却叫Core 2 Duo?实际上,Core Duo处理器也确实存在,只不过没有应用在台式机上,而移动平台又是主打迅驰的整体概念,因此不太受人关注。
2007年11月英特尔将Core架构的制造工艺水平提高到45纳米,以Penryn作为开发代号(实际上就取自这一代移动处理器的核心代号),桌面级双核处理器的核心代号为Wolfdale、四核处理器的核心代号为Yorkfield。相对于前一代产品来说,只是增加了二级缓存的容量,性能有小幅提升,TDP(热功耗)还维持在65W和95W不变。
2008年11月英特尔推出了基于45纳米工艺的新架构——Nehalem,是不是觉得这个代号有点熟?没错,就是之前提到过的那个胎死腹中的10GHz处理器,英特尔难以割舍这个名字,又把它用于新架构的命名了。从这一代产品开始,英特儿放弃了Core 2 Duo的命名方式,改为Core i7/5/3的商标,也就是第一代酷睿智能处理器。Nehalem处理器在接口规格方面比较混乱,既有LGA 1366的规格——对应Bloomfield核心的Core i7 9xx(姑且把它看作是Core 2 Extreme至尊版的延续也未尝不可),也有LGA 1156的规格——对应Lynnfield核心的Core i7 8xx以及Core i5处理器。Nehalem架构的诞生也带来了翻天覆地的变化,比如用QPI(Quick Path Interconnect)取代了使用多年的前端总线(FSB),将内存控制器集成到CPU中,支持三通道DDR3规格的内存,北桥芯片的传统功能基本上已经被架空了。由于Bloomfield Core i7处理器 + X58芯片组主板 + 三通道DDR3内存的整体成本太高,不利于新平台的推广,于是英特尔公司才推出了“缩水版”的Lynnfield——集成双通道DDR3内存控制器,搭配价格相对低廉的P55芯片组平台,取代Core 2 Quad四核处理器的位置。
2010年1月Nehalem架构迈入了32纳米的制造工艺,英特尔称其为Westmere。按照Tick-Tock战略的规划,这次Tick变化本应发生在2009这一奇数年,英特尔公司这次的动作略有些迟缓,在2010年1月才正式发布,从自然年来看好像是滞后了一年,实际上距离上一次Tock变化也就是13个月多一点。这一代产品的技术进步并不仅限于制造工艺方面,将显示单元从北桥芯片中挪到处理器封装内,也是一项创举;只不过运算单元和图形单元的工艺并不同步——前者已经跨入32纳米时代,后者还停留在45纳米阶段,它们只是被一起封装在处理器的散热外壳下,彼此相对独立。英特尔平台的集成显示方案从主板上的Graphics Media Accelerator变成了处理器内部的HD Graphics。
2011年1月第二代酷睿智能处理器——Sandy Bridge问世,虽然这属于一次架构的变化,但是其中也包含了图形芯片的工艺改进,达到了与CPU运算单元同步的32纳米工艺,同时还获得了一个“核芯显卡”的新称谓。此外,Sandy Bridge架构中还引入了全新的AVX(Advanced Vector Extensions)指令集,英特尔公司宣称在AVX指令集的帮助下,矩阵运算的速度远远高于SSE指令集,并且其SIMD(Single Instruction, Multiple Data)演算单元的位宽也从128bit提升为256bit,这对于缩减核心面积带来了很大的帮助。在处理器的命名方式上,Sandy Bridge依然沿用Core i7/i5/i3的商标,只是将数字编号由三位数调整为2开头的四位数,以表明其第二代酷睿智能处理器的身份。架构的变化,自然就意味着芯片组平台的变迁,虽然只是从LGA 1156到LGA 1155这么“一pin之差”,但是Sandy Bridge处理器已经无法再兼容5系列芯片组平台,英特尔推出了Z68、Q67、P67、H67、H61等一系列平台与之匹配。endprint
2012年4月核心代号为Ivy Bridge的英特尔X86处理器迈入了22纳米制造工艺的阶段,也宣布了第三代酷睿智能处理器的问世。伴随着制造工艺水平的提升,Ivy Bridge核心还引入了创新的3D晶体管技术,从二维到三维的演变无疑会显著增加单位面积下的数据流通行效率,就好比修建了高架桥和隧道的道路,要比单一的地面道路通行效率更高。虽然第三代酷睿和第二代酷睿之间并没有发生架构的变化,也可以兼容6系列的芯片组平台;不过英特尔还是推出了涵盖原生USB 3.0、SATA 6Gbps、PCI-E 3.0等先进规格的7系列芯片组,下文介绍8系列芯片组平台时我们就以Z77和Z87作为比较对象。有一点需要单独说明,在这个阶段代表着英特尔桌面级处理器最高性能的产品并不是Ivy Bridge核心的Core i7-3770K,而是基于32纳米工艺的Sandy Bridge-E处理器(相当于至尊版或者Bloomfield的延续),它采用LGA 2011的封装方式,只能搭配Intel X79芯片组平台来使用;而22纳米的至尊版产品(Ivy Bridge-E)则是在Haswell的产品周期内才会上市。
2013年6月英特尔发布Haswell架构的第四代酷睿智能处理器平台,22纳米工艺下更成熟的架构以及新指令(AVX2)的扩展,让Haswell具备明显优于Ivy Bridge的性能。所谓更成熟的架构,就是指环形总线的设计,它可以更容易地实现各个单元之间的连接;而升级到256位的AVX2指令集则是让CPU的浮点运算性能提升了一倍。除了基本性能提升之外,第四代酷睿处理器在超频方面也有得天独厚的优势,在以往的主板电路中,必须设计不同的VR(电压调节器)来分别控制CPU、GPU、I/O等不同部件的电压,用户通过微调这些参数来获得更好的稳定性或超频性能。但是在Haswell架构中,这些调节器全部整合到了CPU之中,主板只需要设计一个VR,其他的微调交给CPU完成,大大降低了主板的供电设计难度,同时也大大简化了超频的操作。Haswell的核芯显卡从技术规格方面来说也有很多进步,例如支持DirectX 11.1、OpenGL 4.0、OpenCL 1.2的接口规范,支持4K×2K的分辨率,另外在三屏输出的操作上也更加简单——选择任意三个视频输出接口即可实现,比起Ivy Bridge核芯显卡必须要依靠两个DisplayPort接口才能实现三屏输出的解决方案,显然是靠谱多了。
在第四代酷睿智能处理器问世之前,一体式电脑和超极本就已经成为桌面市场和移动计算领域中的生力军。新的Haswell架构不仅在计算性能上相对前一代产品继续攀升,而且还提供了前一代的图形引擎,3D性能呈指数型提升,堪称是核心计算领域内近十年来最伟大的创新。在它的推动下,超极本、一体机、以及NUC这类的迷你型产品都将迎来更大的发展空间,在运算性能大幅提升的同时,也会呈现出更丰富多样的应用模式。endprint