進化的芯

爾頓+王旭

最近微信朋友圈里流傳著一段名為“桌面進化史1980—2014”的視頻，很符合我們這部分內容的立意，只可惜我無法將其“轉帖”到雜志這種平面印刷物上。最開始的畫面是一個稍顯繁亂的辦公桌面，居中一臺IBM PC（第一臺個人電腦的造型），旁邊擺放著電話、計算器、傳真機、地球儀、臺歷、詞典、報刊雜志以及剪刀、膠水、透明膠等雜七雜八的物品，墻上還掛著相框、便簽欄、信箱以及通訊錄等物品……這段視頻的內容就是隨著年代的推進，桌面及墻上的物品越來越少，紛紛變成某種應用程序的圖標鉆進了電腦里，當然電腦的造型也從古樸的IBM PC逐漸演變為蘋果MacBook的模樣，最終桌面上除了一臺筆記本電腦之外，只剩下一部智能手機和一副墨鏡。

線索一：核心技術始終是商用PC發展的源動力

這段視頻很形象地描繪出PC進化過程中的兩大特點——功能越來越強大、外形越來越小巧，但這還不是我們所總結提煉的全部內容。我并不打算以編年體的方式來逐年回顧PC的發展歷程，那樣可能會變成一篇流水賬，并不適合突出重點，同時讀者也難以找到清晰的脈絡。我們將通過以下幾條線索——核心技術、瘦身節能、應用導向——來展開這部分內容。鑒于個人電腦誕生之初并沒有消費應用的功能，而是發展到上世紀90年代才逐漸衍生出家用電腦的概念，因此我們還是以商用電腦作為PC進化過程中的主旋律來提煉總結。受限于個人的閱歷以及從業經歷，我沒有信心帶您從第一臺個人電腦的誕生開始進行回顧，只能從我2000年參加工作真正涉足IT圈開始談起。

而對于家用電腦的發展過程，則可以參考商用電腦的進化規律，再對比一下剛剛出現“多媒體電腦”概念時的產品造型和現在最有代表性的幾種家用電腦的類型（液晶一體機、迷你PC、游戲PC），基本也就可以完整展現了。

說到核心技術，所有人都會想到AMD和Intel這兩大芯片領導廠商，鑒于商用PC領域多年來一直都是英特爾處理器一統天下的局面，因此我們就以英特爾X86處理器的發展為線索來展開這部分內容。

2000年前后正值國內第一次互聯網熱潮，PC迅速地普及到各行各業。當時英特爾公司的桌面級處理器還處于Pentium Ⅲ時代，制造工藝正在由250納米向180納米進化，處理器的封裝形式也從碩大的Slot 1轉向了小巧的FC-PGA。在我的印象里，品牌電腦在2000年里很少有幾款能達到1GHz的主頻，128MB的內存配置在當時已經屬于主流規格。

從2001年開始，Intel Pentium 4處理器逐漸嶄露頭角。在它之前，曾有一款核心代號為Tualatin的產品已經將桌面級處理器帶入了130納米的制造工藝階段，但是在英特爾公司的產品部署中，仍然是180納米工藝的Pentium 4處理器成為了大統的繼任者。盡管Pentium 4處理器在上市之初并不受PC廠商的信任，可英特爾公司還是憑借著強大的實力和堅持的態度將其推廣開來；當然，這個摘取成功果實的Pentium 4處理器已經是第二代基于Northwood核心的產品，制造工藝也達到了130納米，因此在運算性能和量產成本上都有了明顯的改善，從2002年開始漸漸成為臺式機的主流配置。

2004年年初，基于Prescott核心的Pentium 4處理器問世，標志著處理器制造工藝進入了90納米的階段。按理說，制造工藝的進步以及EM64T、SSE3指令集、虛擬化等新技術的引入，這些都是積極因素；可是處理器封裝方式的改變、命名規則的調整、規格雜亂的產品（諸如533MHz/800MHz/1066MHz不同外頻的產品并存、1MB/2MB不同二級緩存容量的產品并存、支持/不支持超線程技術的產品并存、Socket 478/LGA 775不同封裝形式的產品并存）在市面并存，也導致英特爾桌面級處理器處于最混亂的兩年，縱然是我們這些整天和CPU打交道的專業媒體編輯，也難免會感到困擾。也正是從這段時間開始，PC廠商漸漸意識到電腦應該是以應用為導向，一味地追逐最新的核心技術并不能完全體現PC本身的價值，以聯想揚天為代表的一部分商用電腦正是在這種背景下開始了應用層面的自主技術創新，這是后話暫且不提。

盡管英特爾公司在Pentium 4處理器問世之初，曾經號稱其Netburst架構可以達到10GHz的主頻，實際上它在4GHz主頻時就已經遭遇了瓶頸，超高功耗帶來的散熱問題成為了Pentium 4處理器提升主頻過程中不可調和的矛盾，英特爾公司終于也承認了一味追求處理器的主頻是一條錯誤的路線，于是將設計思路轉向了多核心的方向，同樣基于90納米制造工藝的第一代Pentium D雙核處理器（核心代號為Smithfield）應運而生了。實際上，Pentium D處理器就是將兩顆Pentium 4 Prescott核心封裝在同一顆芯片里，它們各自擁有獨立的1MB二級緩存，卻共享800MHz的前端總線；雖然90納米的Pentium D處理器的確是一款貨真價實的物理雙核心產品，但是其規格明顯揭示了它只是一款倉促上馬的產品這個不爭的事實，用意就在于填補Pentium 4處理器難以繼續提升主頻的這段空白期。即便是2006年年初問世的第二代Pentium D處理器（核心代號為Presler，采用65納米制造工藝），仍然沒有擺脫Netburst架構，也就是說不會比Smithfield核心的Pentium D處理器有明顯的頻率提升，主要還是靠制造工藝提升帶來的更多晶體管集成數（通俗點說也就是更大的緩存容量）來實現運算性能的提升。當然，也有一些可喜的因素——英特爾從Pentium D處理器開始引入了一些移動平臺的技術——例如增強型SpeedStep技術（簡稱EIST）和增強型空閑電源管理狀態轉換（簡稱C1E），更加注重對處理器功耗的控制。從這個時期開始，英特爾公司開始強調“性能/瓦”的概念，產品策略從一味追求運算性能轉向了更加注重能耗比的發展方向。比起下游的PC廠商來說，英特爾公司的節能減排意識至少要早了一兩年。endprint

對于商用計算平臺來說，處理器的博銳計算技術更新換代固然是帶動PC產業發展的一股動力，但是并非每一代的處理器都能產生劃時代的意義，比如近十年來真正能給最終用戶帶來深刻印象的無非就是奔騰、酷睿這幾個有限的商標，并不是每個用戶都會去關注自己的辦公電腦配備了幾核的處理器、具有多大的緩存等等；商業客戶往往更在意辦公平臺的安全性、可管理性等環節，具體到每臺客戶端的運算性能指標，則是第二位的需求。英特爾公司在迅馳移動平臺上取得了成功之后，又在家庭娛樂領域和商務辦公領域相繼推出了平臺化的概念，2006年4月發布的博銳（vPro）計算技術就是針對商用計算領域的一種平臺化方案，可以說博銳平臺的誕生，對于商用計算領域的意義要遠遠大于每一次處理器架構的改變或者制造工藝的進步。為什么要這樣說，下面我們就對博銳平臺的技術規格以及功能特性做一個詳細的介紹。

博銳平臺定位于大中型企業和有較強IT需求的小型企業，旨在為用戶提供更好的遠程管理能力和安全防護功能，而這正是IT維護人員所迫切需要改善的兩個環節。對一些企業IT人員的調查結果顯示，當前面臨的重要IT挑戰包括以下幾點：

● 電腦惡意攻擊的顯著增長；

● 迫切需要縮短由惡意攻擊、電腦故障，以及維護、升級和其它IT任務所引起的用戶停機時間；

● 準確盤點資產的財務和法律壓力；

● 對于大幅占用IT預算的IT服務的需求不斷提高

針對電腦的純軟件管理和安全解決方案已無法在基本限制范圍內取得效果：它們無法管理或保護關閉或操作系統出現故障的電腦。若想讓IT人員借助現有資源從事更多工作，最重要的能力便是使其能夠在任何電源或操作系統狀態下遠程管理并有效保護電腦。

采用英特爾博銳技術的臺式機專門設計用于應對可管理性和安全性方面的首要IT挑戰。這些電腦可提供簡單的遠程管理和防篡改安全能力，因而IT人員能夠在需要這些功能的地方—IT控制臺擁有更多控制能力。采用英特爾博銳技術的電腦可支持的能力包括：

● 資產盤點。IT人員現在可以查找所有采用英特爾博銳技術的電腦，即使其關機或失靈也不成問題，由此IT人員可確切了解需要管理或保護哪些系統。

● 軟硬件盤點。IT人員可以跟蹤并盤點電腦上的軟硬件資產，包括版本信息等-即使系統關機或操作系統出現故障也沒關系。例如，軟件資產信息包括版本文件信息，而硬件信息則包括基本輸入輸出系統（ BIOS）設置，以及硬盤、內存、插卡和其它組件的制造、型號和保修信息。

● 遠程解決問題。無論電腦電源狀態或操作系統狀態如何，IT人員均可遠程診斷并解決更多問題，從而降低現場訪問的成本、延長用戶正常工作時間并節省IT資源用于新的服務。

● 基于硬件的強大安全性。IT人員可借助包括虛擬化在內的兩個全新安全層來保護系統，從而可在需要時隨時使用第三方安全軟件，并可更快識別和有效阻止病毒、蠕蟲和其它各種威脅。

● 更高性能。這些電腦基于一流的英特爾酷睿微體系結構，可提供改進的多任務處理和多線程能力，從而顯著提高性能。IT人員現在無需中斷用戶應用即可在后臺執行病毒掃描程序、電子郵件同步、備份和其它任務。

● 高效節能。先進的架構和封裝設計技術可以更有效地利用能源，從而減少這些高性能電腦所產生的不必要的熱量，以及所需的冷卻工作。

結合第三方軟件解決方案，英特爾博銳技術可支持IT人員避免大量的現場訪問，減少對現有資源的過度使用，并將工作重點從管理電腦轉到探索全新服務和戰略計劃上來。

遠程通信，防篡改內存

通過在采用英特爾博銳技術的電腦上運行第三方軟件解決方案，IT 人員能夠在任何電腦電源狀態或操作系統狀態下更加輕松地管理和保護電腦。這項工作通過將英特爾主動管理技術（英特爾AMT）和其它先進技術直接融入平臺硬件中來實現。

以下兩項英特爾AMT能力對于遠程IT任務尤為重要：

● 授權IT人員始終可用的安全通信信道；

● 可以安全存儲第三方應用信息的永久非易失性內存。

遠程通信信道

過去，在企業網絡中，管理和安全軟件只有在電腦開機（“帶內”）及其操作系統正常運行的情況下方可與電腦進行通信。由于這些純軟件解決方案與操作系統的安裝級別相同，因而其管理代理可以被篡改。此外，這些解決方案使用的基于軟件的帶內通信信道并不安全，因此通信保密性也是一個問題。

相比之下，英特爾博銳技術可為您提供兩條與電腦通信的途徑：

● 傳統的、不受保護的通信信道，通過操作系統中的軟件堆棧發送網絡流量。

● 更安全的、基于硬件的通信信道在操作系統“下方”運行，不受操作系統狀態的影響。這種“帶外”信道通過內建于英特爾AMT硬件和固件中的堆棧發送網絡通信。即使電腦關機或操作系統出現故障，經授權的IT人員仍然可以應用該通信信道。由于英特爾AMT通信信道基于硬件，因此只要電腦接入電源并連接至網絡，IT人員便可以隨時對其進行訪問。即使操作系統出現故障，該信道仍可支持關鍵系統通信（如告警）和操作（如遠程啟動）繼續運行。

IT人員現在可以在電腦或其操作系統處于任何狀態的情況下，進行檢修、診斷和修理工作。他們可以隨時查閱事件日志、檢查BIOS設置、訪問硬件資產信息以及檢查安全與管理代理的狀態?？梢栽诜枪ぷ鲿r間對設備進行輪詢，電腦甚至能夠在關機的情況下向IT人員發送關鍵的系統告警?？梢詮腎T控制臺遠程啟動系統，并可在電腦操作系統崩潰的情況下遠程重啟、重建和修復故障電腦。

永久的非易失性內存

管理電腦的重要挑戰之一便是獲取以下信息：即在電腦關機、重新配置、重建或失靈時通常會丟失或不可用的信息。

為了解決這一問題，英特爾博銳技術可在運行于該操作系統下的執行環境中提供更安全的非易失性內存。這一非易失性內存可防止黑客、病毒、蠕蟲和其它安全威脅篡改信息。endprint

非易失性內存可分為以下三個主要區域：

● 針對已簽名并加密的英特爾博銳技術管理引擎和英特爾AMT所用信息的存儲區；

● 針對在每次加電自檢（POST）運行時自動更新的硬件資產信息的存儲區；

● 可由經授權的IT人員進行配置，供第三方軟件保存安全性、庫存和其它重要信息（或信息指示器）的存儲區。

現在，IT人員無需“喚醒”系統即可隨時使用重要的系統信息。同時，數據還可在操作系統構建、重映像和重配置過程中持續存在，從而進一步簡化維護和災難恢復工作。

防篡改的通信與內存

即使采用英特爾博銳技術的電腦關機，只要系統仍然插入電源并連接網絡，該電腦的管理引擎便不會關閉。經授權的IT人員仍然可以訪問該電腦。

管理和安全能力嵌入到了電腦平臺的硬件設計中。此“固件”代碼經過簽名、加密并存儲于非易失性內存中，且對于該空間的訪問由訪問控制列表（ACL）進行控制，以幫助防止未經授權的用戶、黑客、病毒和其它威脅訪問該區域。（第三方數據未在非易失性內存中進行加密，但對于該數據的訪問通過ACL進行控制。）同時，從網絡到管理引擎的通信通過傳輸層安全（TLS）和相互端（mutual-ended）HTTP身份驗證得到保護，以幫助防止互聯網協議（IP）欺騙行為。

借助這些基于硬件的措施，即使電腦關機或其操作系統出現故障，也仍然可以保障通信信道的機密性和身份驗證，以及所存儲信息的安全性。

簡化遠程管理

平均而言，在任意指定時間美國企業無法發現的電腦資產高達20%或更多，而海外企業“丟失”資產的比率甚至更高。即使借助出色的資產定位應用和程序，IT人員也仍有5%的資產無法找到。目前，對于準確電腦盤點的需求日益迫切，尤其體現在查找那些關機或操作系統失靈的電腦方面。

資產盤點：遠程查找系統

一般而言，以下幾種情況會對電腦盤點的準確性造成影響：

● 由于在重建之后無法保留關鍵的系統信息，因而很難找到已升級或重映像的電腦；

● 由于用戶、黑客和病毒往往會禁用管理代理，因而無法識別系統并恢復其一致性；

● IT人員可能未發現添加到網絡的新系統，從而無法在電腦獲取網絡訪問權之前將公司政策應用于這些新系統，這種情況會導致其它電腦易于遭受網絡內部的惡意攻擊；

● 純軟件解決方案無法找到關機或失靈的電腦。

借助英特爾博銳技術，IT人員現在能夠以遠程方式準確地盤點所有電腦。即使第三方管理代理損壞或從系統中丟失，此項能力依然奏效。

對于采用英特爾博銳技術的電腦，盤點能力甚至可在安裝管理代理之前應用于準系統電腦。例如，一個企業可能購買并安裝了 20 臺新機器，但在將其接入網絡之前卻忘了通知IT人員。由此，一系列不一致的機器會立即使網絡暴露在各種安全威脅面前，然而由于未安裝管理代理，因而無法對其進行遠程管理，IT人員連電腦都無法識別，更不用說推出各種安全補丁了。

通常在這種情況下，技術人員會到達現場來安裝支持遠程管理的第三方軟件代理。借助英特爾博銳技術，將無需進行現場訪問。相反，只要將電腦插入電源并接入網絡，IT人員便可立即對其進行輪詢。當第三方輪詢軟件識別出網絡上不一致的機器時，IT人員將即時獲得告警。隨后，IT人員可從IT控制臺遠程啟動該機器，甚至還可在安裝庫存代理之前就讀取硬件資產信息，并將適當的管理、安全性和其它第三方應用推送至新電腦—所有這一切均可從IT平臺上輕松完成。

針對電腦資產的軟硬件盤點

當前，企業在了解以下信息方面承受著巨大的壓力：即需要支付多少軟件授權費，在維護合同方面需要保留多少軟件和硬件資產，哪些資產需要重新認證，以及哪些資產需要更新、保護和/或升級。遺憾的是，已賣掉、丟棄、丟失或報廢的資產不能從維護合同或授權清單中自動移除，這種情況會導致對一些資產的估計不足和對其它資產的過度購買。平均說來，當前企業在資產維護和授權服務方面的費用超支達兩倍。

采用英特爾博銳技術的電腦可通過支持第三方管理應用和/或IT控制臺使用以下三項重要能力來減輕IT人員的軟硬件盤點負擔：

● 將資產和其它信息（或資產信息指示器）寫入永久性內存中；

● 隨時輪詢系統以獲取資產信息；

● 啟動關閉的電腦，由此IT人員將能夠執行任何必要的盤點任務，并遠程關閉電腦至用戶離開時的狀態。

現在可以減少單調乏味的人工盤點，從而顯著節省勞動力成本。未使用的軟件授權可適當地再分配給其它資源，同時還可以更好地利用硬件資產和更好地管理保修服務。同時，企業還可充滿信心，確信其審計工作符合政府的規定。

用于解決問題的遠程管理

IT目前最迫切需要具備遠程解決電腦問題的能力，尤其是在系統關機或操作系統崩潰的時候。行業研究表明，在一般企業中，現場與服務中心維修次數僅占電腦維修總次數的20% ，但卻會耗費80%的預算。實際上，現場維修的成本是遠程維修成本的7倍。根據英特爾對44，000份故障單的研究，如果IT人員能夠具備更高的遠程解決問題能力，則可以節省大約40%甚至更多的現場與服務中心維修成本。

遠程解決問題歷來都比較困難，部分原因在于啟動方面的故障通常會導致成本高昂、易起反應的管理操作。費時的現場診斷還會延長用戶的停機時間，而且現場訪問使IT人員不能同時處理其它事務。當問題可以被遠程診斷或解決時，即便是通過電話指導用戶排除故障也會被認為是不方便和低效率的做法。

采用英特爾博銳技術的電腦可以顯著減少 IT 的現場訪問次數，提供強大、安全、基于硬件的工具遠程解決問題，即便電腦已關機或操作系統已經崩潰：

● 通過集成電路設備重定向（IDE-R）遠程啟動電腦，這比局域網喚醒（WOL）和預執行環境（PXE）更強大也更安全。endprint

● 不間斷的事件日志，IT人員可以了解問題發生前的跡象，如電源電壓變低或溫度區過熱等。

● 始終可用的資產信息，該信息位于安全區內，經過授權的IT才可以獲取有助于遠程排除故障、診斷和維修電腦的軟件版本信息、及硬件生產、型號與保修信息。

● 通過局域網串行（SOL）實現的遠程控制臺重定向。

● 基于政策的告警，完全符合工業標準，專門針對平臺硬件傳感器、硬件故障、操作系統鎖定和平臺啟動故障等。

操作系統無法運行通常需要IT人員親臨現場進行重啟或重新安裝。英特爾博銳技術現在可以讓IT人員遠程解決幾乎所有的操作系統問題。例如，如果操作系統無法運行，IT人員可

以使用安全的IDE-R改變系統的啟動路徑，即使用CD或遠程網絡驅動器（如安全服務驅動器）上的映像來啟動。然后IT人員可以建立遠程控制臺對話（使用SOL），逐步排除設備的故障。如果用戶應用軟件無法運行，技術人員可以遠程重新映像用戶的硬盤，通過映像文件恢復用戶的數據，覆蓋被損壞或存在問題的文件。用戶最終能夠以最快的速度和效率恢復系統并正常使用。

過去，當硬件組件（如硬盤）出現故障時，用戶需要致電IT人員，然后技術人員來到用戶所在地，有時候需要反復幾次——診斷問題、尋找部件的生產和型號信息、安裝新部件、及費時的重配置等。在使用采用英特爾博銳技術的電腦時，IT人員能夠及時、甚至能夠先于用戶通知之前，接收系統組件出現故障的系統告警。然后IT人員遠程獲取更換組件的生產、型號和保修信息，并從庫存中尋找合適的組件，從IT控制臺重新映像驅動器。技術人員只需到現場一次：安裝全新的硬盤并幫助用戶恢復系統和運行。

采用英特爾博銳技術的電腦的所有系統告警均被記為事件日志，存入非易失性內存。授權IT人員可以隨時訪問安全的事件日志。第三方管理應用確定哪些告警可以同時發送至IT控制臺和/或哪些將可以觸發一項操作（如立即的資產輪詢）。這樣IT人員就可以指定接收的告警類型，因此重要性不高的告警就不會明顯增加網絡的流量，同時在系統受到安全威脅或出現問題時，優先級較低的告警也不會丟失。

管理混合環境

英特爾博銳技術內建的管理能力可以讓您逐步部署或集成該技術。采用英特爾博銳技術的電腦使用的管理控制臺和通信機制與其它電腦相同，因此移植到遠程管理環境的操作十分輕松簡便。

提高安全性

目前企業最重要的挑戰是如何保護電腦免受惡意的攻擊。即使是最好的純軟件解決方案也不能完全管理或保護已關機或操作系統已崩潰的系統。

三層防護體系

英特爾博銳技術為IT人員提供了兩層基于硬件的全新安全能力，以防止惡意的攻擊?，F在IT

人員已經擁有三層防護體系，其中包括：對出入網絡的流量進行硬件過濾，對第三方代理的“心跳（heartbeat）”存在檢查，受保護的內存區域，及其它主要能力。

● 第一層系統防護：過濾威脅并隔離電腦?；谟布目删幊踢^濾器會檢查電腦網絡流量來識別威脅，同時基于硬件的“開關”可以斷開網絡數據路徑（或設置速率限制），以更快速地遏制該威脅的蔓延。

● 第二層系統防護：第三方軟件安全代理?；谟布哪芰梢蕴峁╇娔X的遠程可見性、安全代理的持續存在檢查（“心跳”），以及預啟動BIOS設置訪問，即使安全代理出現故障或系統操作系統受損或崩潰也沒關系。

● 第三層系統防護：非易失性內存和專用環境。即使威脅滲透其它防護，IT人員現在可以訪問用于保護關鍵信息的永久性內存。此外，IT人員還可以使用獨立的專用虛擬環境來智能地檢驗、隔離和管理用戶操作系統中的應用和數據。

這些全新的防護層使IT人員可以更迅速、更輕松地發現存在的威脅，并有效阻止其蔓延。

過濾威脅并隔離電腦

基于軟件的安全應用一般通過操作系統上面的代理來保護電腦的安全。這種方法的主要問題是，用戶、黑客和病毒可以移除或禁用安全代理和告警，制造嚴重的漏洞。當系統出現故障或響應遲鈍時，IT人員總是不能遠程更新或實施一致性操作；如果其它管理代理也被禁用，甚至不能查找電腦。

英特爾博銳技術可以支持第三方軟件：

● 在威脅到達操作系統前發現更多的威脅。

● 更迅速地隔離故障系統。

● 確保安全代理的正常運行。

英特爾博銳技術為IT提供了用于檢測網絡流量行為的可編程硬件過濾器。這些過濾器可檢驗進出操作系統軟件堆棧的數據包?，F在，電腦自身可通過實施IT政策來過濾進出的操作系統流量，從而幫助遏制威脅。過濾通過檢查數據包標頭內的來源、目的地和端口地址來進行。由于過濾器是可編程的，因而管理軟件能夠定義由被禁止的數據包行為（如記錄告警、向IT人員發送告警、啟動威脅遏制（threat-containment）“開關”等）所觸發的事件。

當硬件過濾器識別出未經授權的數據包行為后，采用英特爾博銳技術的電腦可斷開其操作系統的網絡通信，從而遏制威脅。電腦可在網絡流量真正進入操作系統前，就在操作系統軟件堆棧斷開網絡數據路徑。系統還可以設置網絡流量的速率限制，以幫助IT探查潛在的威脅。IT人員仍可以通過基于硬件和固件的內建通信堆棧與電腦基礎硬件進行通信。之后，IT人員可使用修復軟件來糾正問題，使電腦重新回到企業網絡中。因為只關閉了操作系統網絡通信，用戶應用（如文字處理和電子數據表）仍可運行，所以用戶的正常運行時間不會受到影響。

以前，IT人員一般使用串行輪詢（serial polling）來檢查安全代理的運行狀態。采用英特爾博銳技術的電腦在管理引擎中內置了一個定期、可編程的“心跳”存在檢查?！靶奶笔褂谩翱撮T狗”計時器，這樣第三方安全軟件（或其它關鍵業務應用）就可以在可編程的一秒鐘間隔內向管理引擎進行登記，確認其運行狀態。代理每次登記時都會重置自己的計時器。如果代理在計時器到點之前未完成登記，則可以認為代理已被移除、破壞或禁用。然后管理引擎可以自動并立即記錄告警并通知IT控制臺。一臺采用英特爾博銳技術的電腦可以監視多達16個不同的代理。通過基于硬件的“心跳”檢查，電腦本身可以幫助提高存在檢查的可靠性，而且有助于將軟件漏洞的存在時間從幾小時縮短到幾分鐘，從幾分鐘縮短到幾秒。endprint

由于采用英特爾博銳技術的電腦可以反應性地隔離并阻止自己接入網絡，因此它可以防止威脅向其它電腦進行蔓延。在這方面，采用英特爾博銳技術的電腦就像是其它電腦的緩沖區，有助于保護那些沒有采用英特爾博銳技術這一先進硬件安全能力的系統。

采用英特爾博銳技術的電腦使用的管理控制臺和通信機制與其它電腦相同，因此IT人員在部署采用英特爾博銳技術的電腦時不需要改變管理控制臺的設置。無論電腦的電源狀態如何均可以網絡安裝更新和補丁在英特爾博銳技術問世之前，IT人員不能遠程向關機的電腦安裝更新程序。相反，IT人員只有在它們再次啟動后才能進入—這一過程使許多存在漏洞的系統均長時間地暴露在危險中。

目前有幾種方法可用來喚醒電腦安裝更新程序，但是這些方法均不安全，或者只能在操作系統正常運行下才能發揮作用。對于采用英特爾博銳技術的電腦，IT人員可以通知系統啟動（或關機）。無論系統是否通電或操作系統的狀態如何，安裝更新和補丁程序的操作均可遠程安全地進行。IT人員現在能夠：

● 檢查電腦的軟件版本信息并查看是否需要更新，這兩項操作均不必喚醒電腦。

● 從IT控制臺遠程啟動電腦，這樣在維護一開始即可將更新程序安裝至原本已關機（或處于睡眠狀態）的系統。

采用英特爾博銳技術的電腦可以讓第三方應用在永久性內存中存儲版本和文件信息，因此經過授權的IT人員可以隨時查看一致性信息。如果輪詢代理發現軟件已經過期，則第三方管理應用可以遠程關閉電腦，安裝更新程序，然后遠程將電腦恢復至原來的電源狀態：如開機、關機、休眠或睡眠狀態，這樣就不會改變用戶離開電腦時設置的電源狀態。IT人員便可以使更多管理工具操作實現自動化，并確保采用英特爾博銳技術的電腦保持一致性。

專用虛擬設備

對于采用英特爾博銳技術的電腦，虛擬化能力內建在系統的硬件中。第三方軟件廠商現在可以利用這些能力來構建獨立的虛擬化環境或“虛擬設備”，幫助管理和保護電腦。IT人員現在可以選擇使用專用工具來簡化和提高端點（endpoint）電腦的可管理性和安全性。

傳統的虛擬化

虛擬化技術并不是件新事物。這是一項業經證明的技術，可支持IT人員隔離和管理關鍵業務應用、操作環境和信息—即使所有這些都安裝于同一臺電腦上也不成問題。這有助于改進對管理和安全應用完整性的信任度。到現在為止，電腦虛擬化已主要成為了重要的微生態環境模式，特殊用戶希望在此運行一個以上的操作系統。例如，幫助中心的技術人員可以使用分區電腦來為采用Windows和Linux操作系統的用戶提供支持?？赡苄枰浖_發商為同一操作系統的兩個版本維護代碼?；蛘?，在操作系統移植期間，可同時安裝新舊兩種操作系統，以便重要用戶繼續使用傳統應用。傳統的電腦虛擬化既“重”又昂貴。它意味著要在每個分區構建整個“虛擬電腦”，從下層沉重、復雜的操作系統，直到上層一整套全特性用戶應用。這將需要上百萬串代碼，并將為IT人員帶來另一臺電腦的所有維護問題。此外，由于管理和安全代理仍安裝于分區操作系統的內部，因而它們很容易受到普通操作系統故障的困擾。

針對主流使用簡化虛擬化

對于采用英特爾博銳技術的電腦，虛擬化能力內建在硬件中。IT人員可以使用這些強大的系統，在同一臺機器上實現多個操作系統傳統、有效的重量級（heavyweight）虛擬化。實際上，領先的重量級VMM已針對這些電腦優化了其應用。然而，盡管少量用戶仍需要電腦上的重量級虛擬化，英特爾的目標是為主流商用電腦提供虛擬化的優勢。為此，英特爾致力于打消IT在可管理性和安全性方面的顧慮。英特爾與領先的第三方軟件提供商正在密切合作，以便為IT提供完善、獨立的輕量級解決方案來實現管理和安全應用的虛擬化。這些輕量級解決方案將可以使IT同時運行用戶操作系統和“服務”操作系統。IT現在可以從專用的防篡改空間為用戶操作系統和網絡提供關鍵服務。

何為虛擬設備？

虛擬設備是專用于特定功能（如可管理性和安全性）的獨立操作環境。它包括專用功能應用代碼、相關的瘦嵌入式操作系統和指定的驅動程序。設備在用戶操作系統外部運行，因此用戶不能看到它，可以防止篡改。它處于授權IT人員的控制之下。該設備就象用戶操作系統和網絡之間的網關。它負責向用戶操作系統提供服務，是所有網絡通信經由的網關。例如，如果該設備檢測到網絡流量有問題或背離了IT政策，它可以支持與其它第三方安全或管理應用

相同類型的高級補救。這些響應包括告警、將用戶操作系統與網絡隔離、管理代理的完整性校驗或部署本地補丁等。

高級可管理性和安全性

虛擬設備最重要的優勢之一便是，它駐留于只需少量支持或維護的專用空間內，但仍可提供第三方安全或管理應用的高級功能。例如，為幫助保護端點，安全虛擬設備可以在網絡數據包傳輸至操作系統（在此處用戶應用可能受到影響）之前，智能地檢測網絡流量是否存在惡意封包內容（malicious payload）或可疑的入侵嘗試。當虛擬設備發現問題或背離IT政策的情況，它可以采用高級補救方法。這其中包括前瞻性告警、有選擇的隔離特定通信端口、硬件或軟件盤點、BIOS配置重置，或部署關鍵更新等。由于該設備就是其自身的嵌入式操作系統，因而它能夠根據一系列不同的響應進行編程。

與用戶操作系統隔離

為處于IT的控制之下并預防威脅，虛擬設備與用戶操作系統完全隔離開來。特別是，用戶操作系統不在硬件的直接控制下。相反，用戶操作系統通過虛擬網卡（NIC）進行網絡訪問。物理網卡負責處理用戶操作系統中虛擬網卡與將通信傳送到企業網絡的硬件網卡之間的流量。與硬件相隔離的用戶操作系統和虛擬設備在輕量級虛擬監視器（VMM）的頂部運行。VMM作為另一套硬件行動—它象仿真器一樣提取針對操作系統的硬件。輕量級VMM使用戶操作系統及其應用確信，用戶操作系統“擁有”整個硬件平臺。在這些電腦中，用戶并不能看到虛擬設備，它處于授權IT人員的控制之下。endprint

虛擬化兼容其它技術和第三方解決方案

英特爾與市場上領先的安全和管理性廠商展開了密切合作，以確保第三方應用充分利用英特爾硬件虛擬化的強大能力。例如，第三方廠商可以將輕量級VMM、嵌入式操作系統、應用和英特爾的虛擬化網卡驅動程序集成到其軟件解決方案中。由此將為IT帶來一款易于實施和使用的交鑰匙解決方案。標準的內存卡、存儲卡和顯卡均可與虛擬化技術結合使用。采用英特爾博銳技術的電腦還可以運行商業化操作系統和應用，而無需IT人員執行專門的安裝步驟。

最后，基于硬件的虛擬化技術設計用于結合并補充其它先進的英特爾管理和安全技術，如英特爾主動管理技術等。

與迅馳移動計算技術類似，博銳平臺的組成部分也是隨著核心技術的發展而不斷更新的，只是它并沒有被直接命名為博銳一、博銳二、博銳三而已。在上文對于博銳平臺的詳細介紹中就可以看出，芯片組集成的主動管理技術和處理器提供的虛擬技術就是博銳平臺的核心組成部分，Intel Q系列芯片組就是博銳平臺的標準配置，例如Intel Q35/Q45/Q57/Q67，因為它們都提供了對英特爾主動管理技術的支持。而處理器自Pentium D之后已經全部內嵌了虛擬化技術（只有少數低端產品會省去VT），因此只后的每一代酷睿處理器搭配相應的Intel Q系列芯片組平臺，都構成了新一代的博銳平臺。

2006年6月Core架構的問世堪稱是英特爾X86處理器發展道路上的一個里程碑，在此之前NetBurst架構的發展已經明顯遭遇了瓶頸——盡管制造工藝從90納米進化到65納米，但是Pentium D處理器功耗過高的問題卻沒得到明顯的改善，4GHz基本已經成為NetBurst架構的頻率極限，10GHz的Nehalem計劃只能胎死腹中（老外也喜歡放衛星?。?。Core架構的誕生，徹底解決了英特爾處理器散熱量過高的問題，也標志著主頻至上的策略從此被“每瓦性能”的策略所取代。第一代Core架構的桌面級處理器核心代號為Conroe，這兩個單詞的發音對于不懂英語的人來說比較容易混淆，因此在電腦賣場里經常能聽到商家稱其為“扣肉”。而處理器的正式命名Core 2 Duo也讓人感到莫名其妙——明明是第一代Core架構的處理器，為什么卻叫Core 2 Duo？實際上，Core Duo處理器也確實存在，只不過沒有應用在臺式機上，而移動平臺又是主打迅馳的整體概念，因此不太受人關注。

2007年11月英特爾將Core架構的制造工藝水平提高到45納米，以Penryn作為開發代號（實際上就取自這一代移動處理器的核心代號），桌面級雙核處理器的核心代號為Wolfdale、四核處理器的核心代號為Yorkfield。相對于前一代產品來說，只是增加了二級緩存的容量，性能有小幅提升，TDP（熱功耗）還維持在65W和95W不變。

2008年11月英特爾推出了基于45納米工藝的新架構——Nehalem，是不是覺得這個代號有點熟？沒錯，就是之前提到過的那個胎死腹中的10GHz處理器，英特爾難以割舍這個名字，又把它用于新架構的命名了。從這一代產品開始，英特兒放棄了Core 2 Duo的命名方式，改為Core i7/5/3的商標，也就是第一代酷睿智能處理器。Nehalem處理器在接口規格方面比較混亂，既有LGA 1366的規格——對應Bloomfield核心的Core i7 9xx（姑且把它看作是Core 2 Extreme至尊版的延續也未嘗不可），也有LGA 1156的規格——對應Lynnfield核心的Core i7 8xx以及Core i5處理器。Nehalem架構的誕生也帶來了翻天覆地的變化，比如用QPI（Quick Path Interconnect）取代了使用多年的前端總線（FSB），將內存控制器集成到CPU中，支持三通道DDR3規格的內存，北橋芯片的傳統功能基本上已經被架空了。由于Bloomfield Core i7處理器 + X58芯片組主板 + 三通道DDR3內存的整體成本太高，不利于新平臺的推廣，于是英特爾公司才推出了“縮水版”的Lynnfield——集成雙通道DDR3內存控制器，搭配價格相對低廉的P55芯片組平臺，取代Core 2 Quad四核處理器的位置。

2010年1月Nehalem架構邁入了32納米的制造工藝，英特爾稱其為Westmere。按照Tick-Tock戰略的規劃，這次Tick變化本應發生在2009這一奇數年，英特爾公司這次的動作略有些遲緩，在2010年1月才正式發布，從自然年來看好像是滯后了一年，實際上距離上一次Tock變化也就是13個月多一點。這一代產品的技術進步并不僅限于制造工藝方面，將顯示單元從北橋芯片中挪到處理器封裝內，也是一項創舉；只不過運算單元和圖形單元的工藝并不同步——前者已經跨入32納米時代，后者還停留在45納米階段，它們只是被一起封裝在處理器的散熱外殼下，彼此相對獨立。英特爾平臺的集成顯示方案從主板上的Graphics Media Accelerator變成了處理器內部的HD Graphics。

2011年1月第二代酷睿智能處理器——Sandy Bridge問世，雖然這屬于一次架構的變化，但是其中也包含了圖形芯片的工藝改進，達到了與CPU運算單元同步的32納米工藝，同時還獲得了一個“核芯顯卡”的新稱謂。此外，Sandy Bridge架構中還引入了全新的AVX（Advanced Vector Extensions）指令集，英特爾公司宣稱在AVX指令集的幫助下，矩陣運算的速度遠遠高于SSE指令集，并且其SIMD（Single Instruction， Multiple Data）演算單元的位寬也從128bit提升為256bit，這對于縮減核心面積帶來了很大的幫助。在處理器的命名方式上，Sandy Bridge依然沿用Core i7/i5/i3的商標，只是將數字編號由三位數調整為2開頭的四位數，以表明其第二代酷睿智能處理器的身份。架構的變化，自然就意味著芯片組平臺的變遷，雖然只是從LGA 1156到LGA 1155這么“一pin之差”，但是Sandy Bridge處理器已經無法再兼容5系列芯片組平臺，英特爾推出了Z68、Q67、P67、H67、H61等一系列平臺與之匹配。endprint

2012年4月核心代號為Ivy Bridge的英特爾X86處理器邁入了22納米制造工藝的階段，也宣布了第三代酷睿智能處理器的問世。伴隨著制造工藝水平的提升，Ivy Bridge核心還引入了創新的3D晶體管技術，從二維到三維的演變無疑會顯著增加單位面積下的數據流通行效率，就好比修建了高架橋和隧道的道路，要比單一的地面道路通行效率更高。雖然第三代酷睿和第二代酷睿之間并沒有發生架構的變化，也可以兼容6系列的芯片組平臺；不過英特爾還是推出了涵蓋原生USB 3.0、SATA 6Gbps、PCI-E 3.0等先進規格的7系列芯片組，下文介紹8系列芯片組平臺時我們就以Z77和Z87作為比較對象。有一點需要單獨說明，在這個階段代表著英特爾桌面級處理器最高性能的產品并不是Ivy Bridge核心的Core i7-3770K，而是基于32納米工藝的Sandy Bridge-E處理器（相當于至尊版或者Bloomfield的延續），它采用LGA 2011的封裝方式，只能搭配Intel X79芯片組平臺來使用；而22納米的至尊版產品（Ivy Bridge-E）則是在Haswell的產品周期內才會上市。

2013年6月英特爾發布Haswell架構的第四代酷睿智能處理器平臺，22納米工藝下更成熟的架構以及新指令（AVX2）的擴展，讓Haswell具備明顯優于Ivy Bridge的性能。所謂更成熟的架構，就是指環形總線的設計，它可以更容易地實現各個單元之間的連接；而升級到256位的AVX2指令集則是讓CPU的浮點運算性能提升了一倍。除了基本性能提升之外，第四代酷睿處理器在超頻方面也有得天獨厚的優勢，在以往的主板電路中，必須設計不同的VR（電壓調節器）來分別控制CPU、GPU、I/O等不同部件的電壓，用戶通過微調這些參數來獲得更好的穩定性或超頻性能。但是在Haswell架構中，這些調節器全部整合到了CPU之中，主板只需要設計一個VR，其他的微調交給CPU完成，大大降低了主板的供電設計難度，同時也大大簡化了超頻的操作。Haswell的核芯顯卡從技術規格方面來說也有很多進步，例如支持DirectX 11.1、OpenGL 4.0、OpenCL 1.2的接口規范，支持4K×2K的分辨率，另外在三屏輸出的操作上也更加簡單——選擇任意三個視頻輸出接口即可實現，比起Ivy Bridge核芯顯卡必須要依靠兩個DisplayPort接口才能實現三屏輸出的解決方案，顯然是靠譜多了。

在第四代酷睿智能處理器問世之前，一體式電腦和超極本就已經成為桌面市場和移動計算領域中的生力軍。新的Haswell架構不僅在計算性能上相對前一代產品繼續攀升，而且還提供了前一代的圖形引擎，3D性能呈指數型提升，堪稱是核心計算領域內近十年來最偉大的創新。在它的推動下，超極本、一體機、以及NUC這類的迷你型產品都將迎來更大的發展空間，在運算性能大幅提升的同時，也會呈現出更豐富多樣的應用模式。endprint