從20世紀60年代中葉開始到現在，共50多年的時間里，白帽子們負責維護計算機系統的安全，阻止黑客攻擊和破壞信息網絡。當計算機具備了通過通信線路共享信息的能力，隨之而來的就是，通信線路有可能被竊聽，承載的數據有可能被竊取或破壞，于是產生了維護信息安全的需求?，F在，全球每分鐘大約有640兆兆字節的數據在線路上傳送。有很多信息會被竊取，也有太多的信息需要保護。

早在1965年的時候，電腦安全專家就提醒政府和企業，電腦在交換數據方面的能力越強大，竊取數據的情況就會越多。在1967年的計算機聯合會議上，匯集了15,000多名計算機安全專家、政府和企業分析人員，他們認為當前計算機通信領域的主要挑戰是，計算機通信線路可能被竊聽、提出術語、弄清變化趨勢。

RAND 公司首先提出通過系統測試的辦法保證網絡安全的思路。RAND公司與美國的高級研究計劃局ARPA合作，做了一個重要的報告，該報告被稱作 The Willis Report 。這個報告討論了安全問題，并提出了策略和技術上的對策，即便到現在，它也是安全解決方案的基礎。

從這篇報告開始，政府和企業就開始聯合起來，尋找計算機系統和網絡里的漏洞，保護計算機系統不被惡意攻擊和滲透。組成了一個被稱作tiger teams的團隊，測試計算機網絡抵抗攻擊的能力。許多系統被很快攻破。由RAND公司和政府實施的滲透測試說明了 兩個問題：第一，系統可以被滲透;第二，使用滲透測試的技術發現系統、網絡、硬件和軟件中的漏洞是很有意義的實踐，需要進一步研究和發展 。

James P. Anderson 是滲透測試發展早期的先驅之一。他在1972年的報告中提出了一系列測試系統被滲透和攻擊的可能性的具體步驟。Anderson的方法包括，首先尋找脆弱點，設計出攻擊方法，然后尋找到攻擊過程的弱點，找到對抗威脅的方法。這個基本方法至今仍在使用。

[[173077]]

在上世紀七八十年代，研究如何創建一個安全的系統還是一件新奇的事情。Anderson在1980年發表的一篇文章中說到，設計一個能監控計算機系統使用情況的程序，通過識別非正常的使用來發現黑客活動。這個原理簡單易懂，現在的計算機用戶也可以很容易理解其工作方式，圍繞它提出許多具體辦法。在當時，這項工作是突破性的，其中的許多方法是當前標準系統防護的一部分。

另外一個被廣泛用于政府、軍事和企業的系統是 Multics (Multiplexed Information and Computing Service)。它或許是計算機系統的祖父，從1965年到2000年以不同的形式活躍著，或許現在也在使用。 Honeywell最終購買了它，并將之服務于教育、政府和工業。Multics帶來的主要影響是，它通過遠程的方式提供安全計算服務，這在當時是很大的一個發展。Multics的基礎架構仍然在當今操作系統中使用，比如UNIX。

[[173078]]

Multics安全系統是第一個獲得美國政府的B2獎的操作系統。在1974年，美國空軍組織了一次對Multics系統的攻擊測試，一位知名白帽子參與了攻擊，發現并公布了許多漏洞。盡管如此， Multics仍然被認為是世界上最安全的系統之一 ，它的所有安全特性是標準產品的一部分，而不是附屬物。應用程序開發人員要想讓他們的產品在Multics系統上工作，必須保證他們的產品滿足訪問設計安全?，F在，安全成為了一個可選項，應用軟件也無法滿足這樣的安全條件，這導致計算機用戶可能被攻擊。

在上世紀九十年代，出現了一款用于分析網絡安全的管理工具 SATAN 。開發人員還增加了一項可以配置SANTA的功能。管理員可以用這個工具測試他們的網絡，尋找可能的漏洞，并生成一個包含可能會引發的問題的報告。SATAN已經被nmap和Nessus之類的工具取代，不再更新了。

當前，滲透測試可用的工具越來越多。出現了包含許多安全測試工具的系統。其中之一便是Kali Linux，它被用于數字取證和滲透測試工作中。它包含8個標準的安全工具，分別是Nmap, Aircrack-ng, Kismet, Wireshark, Metasploit Framework, Burp Suite和John the Ripper。一個系統包含了這么多滲透測試工具，這說明現在的技術已經變得多么復雜，聰明的黑客們探索出了各種方法來攻擊網絡。另外，Pentoo也是一個用于滲透測試的系統。

最近的一個RAND報告中講到，美國一年中，約有六千五百萬個人的私人數據遭到泄露，網絡犯罪每年會產生數十億美元的收益。

現在 ，按需滲透測試成為了一種最新的測試網絡安全的方法 。這種方法將安全人員實施的人工測試和自動化工具實施的安全檢查結合起來，共同測試網絡安全。這種方法可以提供寬泛而嚴密的安全測試。它已經發展成為一種訂閱式(subscription-based)服務。對于無法大量開發滲透測試工具和聘請安全專家的小公司來說，可以通過這種方式根據需要雇傭專家來檢查他們的系統。由于系統測試大約是半年一次，對于小機構來說，這種方法可以節約很多成本。

[[173079]]

目前，每年有大約64億美元用于安全工具和安全檢查。滲透測試執行規范在2009年正式確定，時間也不是很長。對于缺乏經驗的人來說，編寫可用的安全工具以及維護一個安全系統會令他們望而卻步。對于正在尋找自己事業的人來說，滲透測試是一個快速發展的領域，在這個領域有很多道路可以作為自己的事業來追逐。