检测到您的浏览器版本过低,可能导致某些功能无法正常使用,建议升级您的浏览器,或使用推荐浏览器 Google Chrome EdgeFirefox X

首页创之源云智库在线委托 ISTIS智库数字资源科技前沿与新兴产业学术交流
首页科技前沿与新兴产业政策创新政策创新

美国NIST发布新版《科研安全框架》

供稿人:金旸供稿时间:2025-12-03 16:44:20关键词:美国国家标准技术研究所,《科研安全框架》,研究安全风险判定矩阵,多学科团队协作

一、《科研安全框架》的核心任务与理念

美国国家标准技术研究所(NIST202511月正式发布修订版《保护国际科学:科研安全框架》NIST IR 8484r1),该文件取代了20238月发布的初版NIST内部报告8484新版框架的核心任务是协助美国政府机构、高等院校及产业界在开展国际科技合作时,建立“任务导向、结构化、风险-平衡”的研究安全项目。

框架直面美国科研生态系统的根本张力:一方面,美国保持全球科技领导地位依赖于与全球科学界的深度互动,通过互惠互利的联合研究吸引国际顶尖人才;另一方面,美国的国家与经济安全要求参与国际合作的组织必须实施有效的风险管理,防范不当外国影响与知识产权流失。NIST强调,缺乏有效的安全项目,组织可能触犯美国法律法规,面临刑事、民事或行政处罚。

该框架与NIST网络安全框架互为补充,共同保护美国研究体系中的关键与新兴技术。其方法论设计特别强调,在审查潜在风险的同时必须保护个人隐私与公民自由。框架的核心理念是“以科学为中心”,通过可扩展、非侵入性的反制措施保护知识产权,从而赢得科研社群的文化认同,使科研安全成为科研活动的有机组成部分而非行政负担。

二、新版框架的三项内容更新

相较于20238月发布的初版,修订版框架在内容上有三项重要更新:

1. 新增“研究安全风险判定矩阵”。新版在旧版提供方法论描述与审查流程指引的基础上引入具体、可操作的风险评估工具矩阵。该矩阵不采用评分制,而是要求实践者基于专业经验与事实数据做出独立且可辩护的判断,实现了风险管理标准化与灵活性的平衡(详见本文第四部分)。

2. 深化风险分类体系。新版明确将风险划分为技术、组织、个人三大维度,每个维度细化为低、中、高三档具体指标,使风险评估从描述性转向结构化。例如,技术维度引入技术就绪水平(TRL)作为成熟度评估标准,组织维度强化对外国所有权控制影响(FOCI)的分析,个人维度则突出对恶意外国人才招募计划(MFTRP)的识别。

3. 强化“科学中心”原则与工具集成。新版明确要求风险评估必须基于对科学与技术领域“最新水平”的理解,强调不能过度依赖自动化工具,必须结合原始数据与专家判断。同时,整合了更丰富的开源情报资源(如ASPI中国国防大学追踪器、ITA综合筛查名单、Google ScholarORCID等),构建多源验证机制,减少判断不确定性。

三、制度—组织—流程安全管理体系

新版框架通过制度设计、组织架构与流程规范三大支柱,构建了从价值观塑造到具体执行的完整安全管理体系。

1. 制度设计:将“保护科学”内化为组织价值观

为塑造积极的安全文化,框架强调必须与科研人员开展开放沟通,明确国际科学对前沿研究的重要价值,同时承认组织对国际伙伴贡献的高度重视。成功的科研安全项目必须通过聚焦“保护科学”而非“安全合规”来影响机构文化,建立与科研社群的伙伴关系。

2. 组织架构:构建多学科集成的决策中枢

框架规定了研究安全团队的构成与运作机制。团队必须由多样化专业背景的核心成员与临时成员组成,确保理解使命导向的关键新兴技术、国际科学与研究安全之间的关联。核心团队至少包括:研究安全团队负责人(具备科研背景,负责风险评估与决策)、国际事务经理(评估国际协议与政策影响)、出口管制经理(评估EAR/ITAR合规性)、信息安全官(评估IT系统访问风险)、研究与技术保护官(评估外国收集威胁)。团队建立层级报告结构,至少每两周向组织高级领导层提交双周报。

3. 流程规范:五大审查类别覆盖科研活动全链条

框架定义了覆盖科研活动全链条的五个审查类别,每个类别均配备标准化审查表单与检查清单。“研究人员聘任审查”要求对所有研究助理进行年度审查;外国旅行审查重点评估目的地风险、主办方背景、演讲内容是否涉及未公开的关键技术、是否接受关注国家资助等;“外国合作审查”重点防范对方利用合作填补军事技术鸿沟;“产品服务请求审查”针对外国对组织数据库、研究工具、软件代码等的获取请求,评估产品是否可能被用于军民两用目的、请求方是否为关注国家实体、是否存在出口管制限制;“外部资助机会审查”需符合NSPM-33、《芯片与科学法案》、SBIR/STTR尽职调查等特定法规要求。

四、风险判定矩阵与决策机制

新增的风险判定矩阵与决策机制构成了框架的风险管理核心。其中,风险判定基于多源信息融合分析,包括开源情报、内部专家评估与外部情报输入,避免单一工具依赖导致的误报/漏报。风险判定矩阵将风险因素分为技术、组织、个人三类,每类从低到高列出具体指标,最终决策遵循“最高风险驱动原则”,但可通过缓解措施降低一档风险。常规缓解措施包括:运行安全培训、物理与逻辑访问审查、资助方批准、增强用户活动监控、缩短审查周期、技术隔离等。风险判定结果分为:“同意”“附条件同意”或“不同意”,后者必须与领导层协商。所有决策必须回答:“收益是否大于风险?”

五、配套保障与实施支持体系

框架还构建了完整的配套保障与实施支持体系。记录管理要求所有审查文件标记为受控非密信息(CUI),存档于受控访问网络,仅向有知情权人员共享。出口管制与合规要求指定专职专家,确保EAR/ITAR合规,制定技术控制计划(TCP)模板。TCP明确禁止向外国人员披露出口管制信息,要求物理隔离、信息系统隔离、访问管理、培训与审计。隐私与包容性强调保护隐私信息,防止仇外情绪,同时促进国际科学家的包容性参与机会。

人员培训方面,框架要求所有涉及外国合作的人员每年完成IT安全、反情报、操作安全(OPSEC)等必修课程,研究安全团队定期提供针对性培训。

NIST指出,实施《科研安全框架》的关键包括:高层管理支持、多学科团队协作、持续的员工培训与沟通、与情报界和法律界的有效协同。框架最终目标是促进负责任的国际科研参与,在保护美国关键技术与知识产权的同时,维护开放创新体系的活力,确保美国在全球科研生态中的领导地位。框架将持续演进以应对新兴威胁,为美国科研安全实践者提供动态、有效的指导工具。


参考文献:

[1] NIST. Safeguarding International Science: Research Security Framework[EB/OL].[2025-12-03]. https://www.nist.gov/publications/safeguarding-international-science-research-security-framework-0.

[2] NIST. NIST IR 8484 Research Security Plan Guidance & Template[EB/OL].[2025-12-03]. https://www.nist.gov/system/files/documents/2025/06/05/NIST