一、《科研安全框架》的核心任務與理念

美國國家標準技術研究所（NIST）于2025年11月正式發布修訂版《保護國際科學：科研安全框架》（NIST IR 8484r1），該文件取代了2023年8月發布的初版NIST內部報告8484。新版框架的核心任務是協助美國政府機構、高等院校及產業界在開展國際科技合作時，建立“任務導向、結構化、風險－平衡”的研究安全項目。

框架直面美國科研生態系統的根本張力：一方面，美國保持全球科技領導地位依賴于與全球科學界的深度互動，通過互惠互利的聯合研究吸引國際頂尖人才；另一方面，美國的國家與經濟安全要求參與國際合作的組織必須實施有效的風險管理，防范不當外國影響與知識產權流失。NIST強調，缺乏有效的安全項目，組織可能觸犯美國法律法規，面臨刑事、民事或行政處罰。

該框架與NIST網絡安全框架互為補充，共同保護美國研究體系中的關鍵與新興技術。其方法論設計特別強調，在審查潛在風險的同時必須保護個人隱私與公民自由。框架的核心理念是“以科學為中心”，通過可擴展、非侵入性的反制措施保護知識產權，從而贏得科研社群的文化認同，使科研安全成為科研活動的有機組成部分而非行政負擔。

二、新版框架的三項內容更新

相較于2023年8月發布的初版，修訂版框架在內容上有三項重要更新：

1. 新增“研究安全風險判定矩陣”。新版在舊版提供方法論描述與審查流程指引的基礎上引入具體、可操作的風險評估工具矩陣。該矩陣不采用評分制，而是要求實踐者基于專業經驗與事實數據做出獨立且可辯護的判斷，實現了風險管理標準化與靈活性的平衡（詳見本文第四部分）。

2. 深化風險分類體系。新版明確將風險劃分為技術、組織、個人三大維度，每個維度細化為低、中、高三檔具體指標，使風險評估從描述性轉向結構化。例如，技術維度引入技術就緒水平（TRL）作為成熟度評估標準，組織維度強化對外國所有權控制影響（FOCI）的分析，個人維度則突出對惡意外國人才招募計劃（MFTRP）的識別。

3. 強化“科學中心”原則與工具集成。新版明確要求風險評估必須基于對科學與技術領域“最新水平”的理解，強調不能過度依賴自動化工具，必須結合原始數據與專家判斷。同時，整合了更豐富的開源情報資源（如ASPI中國國防大學追蹤器、ITA綜合篩查名單、Google Scholar、ORCID等），構建多源驗證機制，減少判斷不確定性。

三、“制度—組織—流程”安全管理體系

新版框架通過制度設計、組織架構與流程規范三大支柱，構建了從價值觀塑造到具體執行的完整安全管理體系。

1. 制度設計：將“保護科學”內化為組織價值觀

為塑造積極的安全文化，框架強調必須與科研人員開展開放溝通，明確國際科學對前沿研究的重要價值，同時承認組織對國際伙伴貢獻的高度重視。成功的科研安全項目必須通過聚焦“保護科學”而非“安全合規”來影響機構文化，建立與科研社群的伙伴關系。

2. 組織架構：構建多學科集成的決策中樞

框架規定了研究安全團隊的構成與運作機制。團隊必須由多樣化專業背景的核心成員與臨時成員組成，確保理解使命導向的關鍵新興技術、國際科學與研究安全之間的關聯。核心團隊至少包括：研究安全團隊負責人（具備科研背景，負責風險評估與決策）、國際事務經理（評估國際協議與政策影響）、出口管制經理（評估EAR/ITAR合規性）、信息安全官（評估IT系統訪問風險）、研究與技術保護官（評估外國收集威脅）。團隊建立層級報告結構，至少每兩周向組織高級領導層提交雙周報。

3. 流程規范：五大審查類別覆蓋科研活動全鏈條

框架定義了覆蓋科研活動全鏈條的五個審查類別，每個類別均配備標準化審查表單與檢查清單。“研究人員聘任審查”要求對所有研究助理進行年度審查；“外國旅行審查”重點評估目的地風險、主辦方背景、演講內容是否涉及未公開的關鍵技術、是否接受關注國家資助等；“外國合作審查”重點防范對方利用合作填補軍事技術鴻溝；“產品服務請求審查”針對外國對組織數據庫、研究工具、軟件代碼等的獲取請求，評估產品是否可能被用于軍民兩用目的、請求方是否為關注國家實體、是否存在出口管制限制；“外部資助機會審查”需符合NSPM-33、《芯片與科學法案》、SBIR/STTR盡職調查等特定法規要求。

四、風險判定矩陣與決策機制

新增的風險判定矩陣與決策機制構成了框架的風險管理核心。其中，風險判定基于多源信息融合分析，包括開源情報、內部專家評估與外部情報輸入，避免單一工具依賴導致的誤報/漏報。風險判定矩陣將風險因素分為技術、組織、個人三類，每類從低到高列出具體指標，最終決策遵循“最高風險驅動原則”，但可通過緩解措施降低一檔風險。常規緩解措施包括：運行安全培訓、物理與邏輯訪問審查、資助方批準、增強用戶活動監控、縮短審查周期、技術隔離等。風險判定結果分為：“同意”“附條件同意”或“不同意”，后者必須與領導層協商。所有決策必須回答：“收益是否大于風險？”

五、配套保障與實施支持體系

框架還構建了完整的配套保障與實施支持體系。記錄管理要求所有審查文件標記為受控非密信息（CUI），存檔于受控訪問網絡，僅向有知情權人員共享。出口管制與合規要求指定專職專家，確保EAR/ITAR合規，制定技術控制計劃（TCP）模板。TCP明確禁止向外國人員披露出口管制信息，要求物理隔離、信息系統隔離、訪問管理、培訓與審計。隱私與包容性強調保護隱私信息，防止仇外情緒，同時促進國際科學家的包容性參與機會。

人員培訓方面，框架要求所有涉及外國合作的人員每年完成IT安全、反情報、操作安全（OPSEC）等必修課程，研究安全團隊定期提供針對性培訓。

NIST指出，實施《科研安全框架》的關鍵包括：高層管理支持、多學科團隊協作、持續的員工培訓與溝通、與情報界和法律界的有效協同。框架最終目標是促進負責任的國際科研參與，在保護美國關鍵技術與知識產權的同時，維護開放創新體系的活力，確保美國在全球科研生態中的領導地位。框架將持續演進以應對新興威脅，為美國科研安全實踐者提供動態、有效的指導工具。

參考文獻：

[1] NIST. Safeguarding International Science: Research Security Framework[EB/OL].[2025-12-03]. https://www.nist.gov/publications/safeguarding-international-science-research-security-framework-0.

[2] NIST. NIST IR 8484 Research Security Plan Guidance & Template[EB/OL].[2025-12-03]. https://www.nist.gov/system/files/documents/2025/06/05/NIST