非对称加密：
之前写过activex插件，对CA和DES了解点，现在差不多又忘了，首先DES是非对称加密方法，分公钥和私钥，公钥与私钥的作用是：用公钥加密的内容只能用私钥解密，用私钥加密的内容只能 用公钥解密。那这两种方式有什么作用呢：
公钥加密私钥解密：我要发邮件给B,我不想让别人知道这个内容，如是我用B的公钥加密，则只有B才能用他的私钥解密这个邮件。
私钥加密公钥解密：身份认证。我要向B证明这个邮件是我发送的，我用我的私钥加密这封邮件，B用我的公钥来解密，如果成功，则说明这个邮件是我发送的。
Certification Authority(认证中心):
很权威的机构，能发放证书证明某件事的机构。之前说的activeX安装在ie上时，如果没有使用ie里面信任的CA发放的证书来编码activeX组建的话，ie是不允许这个activeX安装运行的。
数字证书：
一个标准的X.509数字证书包含以下一些内容：
证书的版本信息；
证书的序列号，每个证书都有一个唯一的证书序列号；
证书所使用的签名算法；
证书的发行机构名称，命名规则一般采用X.500格式；
证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为1950-2049;
证书所有人的名称，命名规则一般采用X.500格式；
证书所有人的公开密钥；
证书发行者对证书的签名。

网银
网银业务，只要数字签名就可以了。
表示业务的数据，比如一个xml，做hash；hash结果用你的私钥加密
私钥（hash（原文））

银行对原文hash，得到hash1。hash（原文）
用你的公钥解密密文，得到hash2。公钥（私钥（hash（原文）））
比对hash1，hash2，如果一致就签名验证通过。
外加验证你的数字证书。

如果这么干，你必须和银行有协议：
凡数字签名验证通过之情况，如同您本人亲自办理之业务。//不可否认性

优点是不用传递口令。可以离线（或者另外机器），做签名；把签名交给银行。

所以私钥自己保护，很重要。银行替你保护是不当的。

网银没必要用数字证书！
现在都是基于口令保护，外加加密通信(SSL)，足够了。除非能够不用口令。(美国银行就是如此)
用数字证书，意义不大，只是增加被黑掉的难度。
用户不敢，因为不懂。银行不敢，因为本来就不敢，口令挺好的。

物理安全：
容灾备份，防止单点故障

网络安全：
防火墙
病毒
网段划分
数据加密

同一个网段