当您试图定义它时，没有“最佳”。只有一个“最适合您”是您需要确定的。

可以从多种不同的方式查看安全性。例如，我曾经被教导说安全是保护设备和可用性之间的平衡。一个非常安全的系统是完全断开连接的系统，嵌入 10 英尺厚的混凝土中，并埋在地下 300 英尺的未公开位置。这也非常易于维护，因为您不必担心补丁、更新、密码刷新等。然而，它也是一个完全无法使用的系统。您的公司需要对您自己的运营和用户群在极端情况之间的哪个位置感到满意做出最佳判断。

除此之外，是风险与成本的平衡。就像冗余（冗余与安全性是分配资源时要考虑的另一个平衡点），您需要评估您的个人风险，您的公司愿意承担多少风险，以及他们有多少可用资金并且愿意花在安全上。大多数公司不想在保护某些东西上花费超过其价值的费用。你永远不会走进零售店，在一包 1 美元的口香糖上找到 2 美元的防盗标签。

当然，在计算成本时，总有“软”成本。额外的员工（或知识渊博的员工）以维持所需的安全级别（或冗余）。支持费用。出现问题时可能会导致额外时间/生产力损失的额外复杂性。最终用户支持问题。等等等等。

不幸的是，在生活中，安全性和冗余性的回报也都是递减的。我的意思是，您可以采取相当重要的步骤以相对较低的成本增加其中一个（或两个）。但是，您想进一步增加这些收益，成本就变得越高。例如，您可以以相对较低的成本获得 90% 的正常运行时间（以 100% 的容量），但要获得 99%（以 100% 的容量）需要支付更多的费用。要达到 99.999%（以 100% 的容量），达到 99% 可能至少要花费两倍的成本。

除了“最佳”问题之外，您正在寻找研究来支持您的决定。这也是有问题的，因为大多数公司不披露其安全细节。当然，他们可能会说他们使用产品 X 或供应商 Y，但他们通常不会提供全貌。为什么？因为他们透露的信息越多，就越容易利用系统中的任何漏洞。最安全的公司几乎不会透露任何信息。

试图获得所有公司的“平均值”就是试图将苹果和橙子一视同仁（以及香蕉、葡萄、猕猴桃、桃子、梨、菠萝……）。大多数知识渊博的专业人士会告诉您，不同类型的公司/企业如何看待和解决安全问题是有天壤之别。零售、金融、银行、网络、教育、制造、服务、软件设计、知识产权等都有不同的需求和风险。试图将它们全部归为某个“平均值”是行不通的。

在评论中，您一直在寻找“灵丹妙药”的答案，所以让我们将其与 IT 之外的内容进行比较。您是否会尝试通过平均该国所有房地产销售来确定您有兴趣购买的房产是否定价合理？不，您最好在同一街区、相同类型（住宅与商业、单户家庭与公寓等）、卧室/浴室数量、平方英尺等数量相似的“可比对象”中寻找。然后您进行评估如何根据功能（完整的地下室、三个车库、游泳池等）、条件（升级厨房、新屋顶等）、位置（安静的非繁忙街道、良好的学区、靠近购物区或公共交通设施）来比较成本等）以及房产的任何其他重要方面，然后再对价格的比较做出最佳判断。

如果您正在芝加哥寻找公寓，那么在纽约市进行的定量研究是否提供公寓的平均成本为 X 美元的帮助？对所有公司的安全模型进行平均的研究也不会帮助您的公司。