從20世紀60年代中葉開始到現(xiàn)在，共50多年的時間里，白帽子們負責(zé)維護計算機系統(tǒng)的安全，阻止黑客攻擊和破壞信息網(wǎng)絡(luò)。當(dāng)計算機具備了通過通信線路共享信息的能力，隨之而來的就是，通信線路有可能被竊聽，承載的數(shù)據(jù)有可能被竊取或破壞，于是產(chǎn)生了維護信息安全的需求?，F(xiàn)在，全球每分鐘大約有640兆兆字節(jié)的數(shù)據(jù)在線路上傳送。有很多信息會被竊取，也有太多的信息需要保護。

早在1965年的時候，電腦安全專家就提醒政府和企業(yè)，電腦在交換數(shù)據(jù)方面的能力越強大，竊取數(shù)據(jù)的情況就會越多。在1967年的計算機聯(lián)合會議上，匯集了15,000多名計算機安全專家、政府和企業(yè)分析人員，他們認為當(dāng)前計算機通信領(lǐng)域的主要挑戰(zhàn)是，計算機通信線路可能被竊聽、提出術(shù)語、弄清變化趨勢。

RAND 公司首先提出通過系統(tǒng)測試的辦法保證網(wǎng)絡(luò)安全的思路。RAND公司與美國的高級研究計劃局ARPA合作，做了一個重要的報告，該報告被稱作 The Willis Report 。這個報告討論了安全問題，并提出了策略和技術(shù)上的對策，即便到現(xiàn)在，它也是安全解決方案的基礎(chǔ)。

從這篇報告開始，政府和企業(yè)就開始聯(lián)合起來，尋找計算機系統(tǒng)和網(wǎng)絡(luò)里的漏洞，保護計算機系統(tǒng)不被惡意攻擊和滲透。組成了一個被稱作tiger teams的團隊，測試計算機網(wǎng)絡(luò)抵抗攻擊的能力。許多系統(tǒng)被很快攻破。由RAND公司和政府實施的滲透測試說明了 兩個問題：第一，系統(tǒng)可以被滲透;第二，使用滲透測試的技術(shù)發(fā)現(xiàn)系統(tǒng)、網(wǎng)絡(luò)、硬件和軟件中的漏洞是很有意義的實踐，需要進一步研究和發(fā)展 。

James P. Anderson 是滲透測試發(fā)展早期的先驅(qū)之一。他在1972年的報告中提出了一系列測試系統(tǒng)被滲透和攻擊的可能性的具體步驟。Anderson的方法包括，首先尋找脆弱點，設(shè)計出攻擊方法，然后尋找到攻擊過程的弱點，找到對抗威脅的方法。這個基本方法至今仍在使用。

[[173077]]

在上世紀七八十年代，研究如何創(chuàng)建一個安全的系統(tǒng)還是一件新奇的事情。Anderson在1980年發(fā)表的一篇文章中說到，設(shè)計一個能監(jiān)控計算機系統(tǒng)使用情況的程序，通過識別非正常的使用來發(fā)現(xiàn)黑客活動。這個原理簡單易懂，現(xiàn)在的計算機用戶也可以很容易理解其工作方式，圍繞它提出許多具體辦法。在當(dāng)時，這項工作是突破性的，其中的許多方法是當(dāng)前標準系統(tǒng)防護的一部分。

另外一個被廣泛用于政府、軍事和企業(yè)的系統(tǒng)是 Multics (Multiplexed Information and Computing Service)。它或許是計算機系統(tǒng)的祖父，從1965年到2000年以不同的形式活躍著，或許現(xiàn)在也在使用。 Honeywell最終購買了它，并將之服務(wù)于教育、政府和工業(yè)。Multics帶來的主要影響是，它通過遠程的方式提供安全計算服務(wù)，這在當(dāng)時是很大的一個發(fā)展。Multics的基礎(chǔ)架構(gòu)仍然在當(dāng)今操作系統(tǒng)中使用，比如UNIX。

[[173078]]

Multics安全系統(tǒng)是第一個獲得美國政府的B2獎的操作系統(tǒng)。在1974年，美國空軍組織了一次對Multics系統(tǒng)的攻擊測試，一位知名白帽子參與了攻擊，發(fā)現(xiàn)并公布了許多漏洞。盡管如此， Multics仍然被認為是世界上最安全的系統(tǒng)之一 ，它的所有安全特性是標準產(chǎn)品的一部分，而不是附屬物。應(yīng)用程序開發(fā)人員要想讓他們的產(chǎn)品在Multics系統(tǒng)上工作，必須保證他們的產(chǎn)品滿足訪問設(shè)計安全?，F(xiàn)在，安全成為了一個可選項，應(yīng)用軟件也無法滿足這樣的安全條件，這導(dǎo)致計算機用戶可能被攻擊。

在上世紀九十年代，出現(xiàn)了一款用于分析網(wǎng)絡(luò)安全的管理工具 SATAN 。開發(fā)人員還增加了一項可以配置SANTA的功能。管理員可以用這個工具測試他們的網(wǎng)絡(luò)，尋找可能的漏洞，并生成一個包含可能會引發(fā)的問題的報告。SATAN已經(jīng)被nmap和Nessus之類的工具取代，不再更新了。

當(dāng)前，滲透測試可用的工具越來越多。出現(xiàn)了包含許多安全測試工具的系統(tǒng)。其中之一便是Kali Linux，它被用于數(shù)字取證和滲透測試工作中。它包含8個標準的安全工具，分別是Nmap, Aircrack-ng, Kismet, Wireshark, Metasploit Framework, Burp Suite和John the Ripper。一個系統(tǒng)包含了這么多滲透測試工具，這說明現(xiàn)在的技術(shù)已經(jīng)變得多么復(fù)雜，聰明的黑客們探索出了各種方法來攻擊網(wǎng)絡(luò)。另外，Pentoo也是一個用于滲透測試的系統(tǒng)。

最近的一個RAND報告中講到，美國一年中，約有六千五百萬個人的私人數(shù)據(jù)遭到泄露，網(wǎng)絡(luò)犯罪每年會產(chǎn)生數(shù)十億美元的收益。

現(xiàn)在 ，按需滲透測試成為了一種最新的測試網(wǎng)絡(luò)安全的方法 。這種方法將安全人員實施的人工測試和自動化工具實施的安全檢查結(jié)合起來，共同測試網(wǎng)絡(luò)安全。這種方法可以提供寬泛而嚴密的安全測試。它已經(jīng)發(fā)展成為一種訂閱式(subscription-based)服務(wù)。對于無法大量開發(fā)滲透測試工具和聘請安全專家的小公司來說，可以通過這種方式根據(jù)需要雇傭?qū)＜襾頇z查他們的系統(tǒng)。由于系統(tǒng)測試大約是半年一次，對于小機構(gòu)來說，這種方法可以節(jié)約很多成本。

[[173079]]

目前，每年有大約64億美元用于安全工具和安全檢查。滲透測試執(zhí)行規(guī)范在2009年正式確定，時間也不是很長。對于缺乏經(jīng)驗的人來說，編寫可用的安全工具以及維護一個安全系統(tǒng)會令他們望而卻步。對于正在尋找自己事業(yè)的人來說，滲透測試是一個快速發(fā)展的領(lǐng)域，在這個領(lǐng)域有很多道路可以作為自己的事業(yè)來追逐。