REF-2026-001 | مجالات الأمن السيبراني – Cybersecurity Domains | الحلقة (2): عمارة الأمن — من التشفير إلى Zero Trust: كيف نُهندس الأمن؟

مجالات الأمن السيبراني – Cybersecurity Domains

الحلقة (2): عمارة الأمن — من التشفير إلى Zero Trust: كيف نُهندس الأمن؟

مخطط يختصر “الأمن بالتصميم” ويحوّله إلى محاور ومخرجات تنفيذية داخل المؤسسة

REF-2026-001 REFERENCE PAPER ITSSC

مركز iTach Denmark للدراسات الاستراتيجية والتكنولوجية (ITSSC)
القسم: أوراق مرجعية — مواد تأسيسية قابلة للاقتباس داخل الدراسات والسياسات
رقم المادة: REF-2026-001
تاريخ النشر: يناير 2026 (januar 2026)

إعداد: المهندس مصطفى كامل الشريف
مستشار في الأمن السيبراني والسيادة الرقمية – الدنمارك / العراق

صيغة الاقتباس:
iTach Denmark (ITSSC), 2026. REF-2026-001. مجالات الأمن السيبراني – Cybersecurity Domains: الحلقة (2) عمارة الأمن — من التشفير إلى Zero Trust: كيف نُهندس الأمن؟

فهرس المقال

تمهيد: ما المقصود بعمارة الأمن؟
المخطط: عمارة الأمن داخل الخريطة
محاور عمارة الأمن: تعريف + أهمية + مخرجات + ارتباطات
ما معنى Zero Trust وكيف يظهر داخل العمارة؟
مخرجات قابلة للتنفيذ (Deliverables) وبنود قياس
الخلاصة
المصادر والمراجع

تمهيد: ما المقصود بعمارة الأمن؟

عمارة الأمن (Security Architecture) ليست “أداة” ولا “فريق تشغيل”، بل هي منهج الأمن بالتصميم: كيف تُبنى الأنظمة والشبكات والتطبيقات والهوية والبيانات والسحابة بحيث تُصعِّب الاختراق من البداية، وتُقلّل الانتشار عند حدوثه، وتُبقي التحكم والتدقيق ممكنَين تقنيًا وتشغيليًا.

قاعدة الحلقة: لا تبدأ بشراء المنصات قبل أن “تُثبت” أن العمارة صحيحة. المنصات تُراقب وتكشف وتستجيب… أما العمارة فتقلّل احتمال الاختراق وتقلّل نطاق الأثر (Blast Radius).

المخطط: عمارة الأمن داخل الخريطة

هذه الصورة تُستخدم كمرجع بصري ثابت: كل محور تحتها ليس عنوانًا نظريًا، بل “حزمة عمل” لها سياسات، تصميم، ضوابط، وأدلة تطبيق، ويمكن تحويلها مباشرة إلى برنامج تنفيذي ومؤشرات نضج.

Security Architecture - عمارة الأمن — عمارة الأمن (Security Architecture) — محاور “الأمن بالتصميم” من التشفير إلى Zero Trust.

ملاحظة تحريرية: هذا النص موجّه للجمهور (صيغة تأسيسية قابلة للاقتباس داخل دراسات المركز)، وليس “حديثًا شخصيًا”.

محاور عمارة الأمن: تعريف + أهمية + مخرجات + ارتباطات

1) التشفير (Cryptography)

المعنى: علم وتقنيات حماية السرّية والنزاهة والتوثيق (Confidentiality / Integrity / Authenticity) عبر التشفير، التوقيع الرقمي، وإدارة المفاتيح.

لماذا مهم؟ لأنه “الأرضية” التي تقوم عليها الاتصالات الآمنة (TLS/VPN)، حماية البيانات المخزّنة (Encryption at Rest)، والتوثيق غير القابل للإنكار (Non-repudiation).

مخرجات عملية: سياسة تشفير معتمدة (خوارزميات/أطوال مفاتيح/دورات تغيير)، بنية PKI وشهادات، ووسائط حماية مفاتيح مثل HSM / Key Vault.

الارتباطات: يتداخل مباشرة مع حماية البيانات، التحكم بالوصول (الهوية والتوقيع)، وأمن السحابة (إدارة المفاتيح والسجلات).

2) بناء أنظمة آمنة (Secure System Build / Hardening)

المعنى: إنشاء خط أساس آمن (Baseline) لأنظمة التشغيل وأجهزة الشبكات والخدمات، ثم الالتزام به وقياس الانحراف عنه.

لماذا مهم؟ لأن أغلب الاختراقات تبدأ من إعدادات افتراضية خاطئة أو خدمات غير ضرورية أو صلاحيات واسعة؛ الهاردننج يقلّل سطح الهجوم قبل أي مراقبة.

مخرجات عملية: Baseline Configuration + معايير بناء (Build Standards) + صور معيارية (Golden Images) + تفعيل السجلات (Logging) افتراضيًا.

الارتباطات: يصبح لاحقًا أساسًا لإدارة الثغرات وامتثال الإعدادات والتحقيقات الجنائية.

3) تطوير تطبيقات آمنة (Secure SDLC / DevSecOps)

المعنى: إدخال الأمن في التحليل والتصميم والبرمجة والاختبار والإصدار بدل أن يكون فحصًا نهائيًا.

لماذا مهم؟ لأن عيوب التصميم تُنتج ثغرات متكررة، وإصلاحها متأخرًا مكلف، والتطبيقات هي واجهة الهجوم الأكثر شيوعًا في الخدمات الرقمية.

مخرجات عملية: معايير ترميز، نمذجة تهديدات، مراجعات أمنية، وفحوصات SAST/DAST/SCA داخل CI/CD.

الارتباطات: يتقاطع مباشرة مع فحص الشيفرة والاختبارات الاختراقية، ومع إدارة الهوية والبيانات داخل التطبيق.

4) تصميم الشبكات (Network Design)

المعنى: هندسة التقسيم وحدود الثقة (Segmentation / Zoning / Trust Boundaries) عبر DMZ وقيود الحركة الجانبية لتحقيق الاحتواء.

لماذا مهم؟ لأن الشبكة المسطحة تجعل اختراق جهاز واحد بوابة لانتشار واسع؛ التصميم الجيد يحدد الاتصالات المسموحة ويقلّل Blast Radius.

مخرجات عملية: مخططات مناطق وثقة، قواعد جدران نارية، ضوابط NAC، ومسارات إدارة منفصلة.

الارتباطات: هو العمود التقني لتطبيق Zero Trust مع الهوية والتحكم بالوصول.

5) حماية البيانات (Data Protection)

المعنى: حماية البيانات حسب حساسيتها طوال دورة حياتها: إنشاء، تخزين، مشاركة، أرشفة، إتلاف.

لماذا مهم؟ لأن هدف كثير من الهجمات هو استخراج بيانات لا إسقاط أنظمة؛ وحماية البيانات تمنع التحول من “اختراق” إلى “تسريب”.

مخرجات عملية: تصنيف بيانات، DLP، تشفير، سياسات احتفاظ، نسخ احتياطي، وضوابط مشاركة/نقل.

الارتباطات: يرتبط بخريطة تدفق البيانات (Data-Flow Map) وتقييم مخاطر متمركز حول البيانات (Data-Centric Risk).

6) أمن السحابة (Cloud Security)

المعنى: تأمين IaaS/PaaS/SaaS وفق نموذج المسؤولية المشتركة مع ضبط الهوية والمفاتيح والسجلات والشبكات والسياسات.

لماذا مهم؟ لأن أخطاء IAM أو إعدادات التخزين قد تسبب تسربًا واسعًا دون “اختراق” تقليدي.

مخرجات عملية: Landing Zone آمنة، IAM، KMS، سجلات مركزية، ومراقبة وضع أمني عبر CSPM.

الارتباطات: يتقاطع مع CASB وFederated Identity ويُسهّل تطبيق Zero Trust في البيئات الهجينة.

7) التحكم بالوصول (Access Control)

المعنى: تحديد من يدخل؟ إلى ماذا؟ وبأي شروط؟ عبر التوثيق (Authentication) والتخويل (Authorization).

لماذا مهم؟ لأن الاستيلاء على الهوية أو الامتيازات هو أسرع طريق للسيطرة؛ التحكم بالوصول يقيّد الضرر حتى مع وجود اختراق.

مخرجات عملية: RBAC/ABAC، MFA، وصول مشروط، مراجعات دورية، وإدارة مركزية للهوية IAM.

الارتباطات: يرتبط مباشرة بـ PAM للحسابات الإدارية عالية الخطورة، وبـ Federated Identity لتوحيد الهوية عبر الأنظمة.

8) الهندسة الأمنية (Security Engineering)

المعنى: تحويل الأمن إلى متطلبات وتصاميم ووثائق وتنفيذ قابل للتدقيق: “ما الذي يجب بناؤه؟ كيف؟ ومن يوافق؟ وما المخاطر المقبولة؟”.

لماذا مهم؟ لأنه يمنع تحول العمارة إلى آراء شخصية، ويجعلها قرارات مؤسسية موثّقة قابلة للمراجعة والمحاسبة.

مخرجات عملية: متطلبات أمنية، وثائق عمارة، مراجعات تصميم، سجل قرارات، ونماذج قبول مخاطر.

الارتباطات: هو الجسر بين العمارة والحوكمة والامتثال؛ وبدونه تصبح الضوابط صعبة الإثبات في التدقيق.

حزمة الهوية في المخطط (تُقرأ كوحدة واحدة):
Federated Identity: تسجيل دخول موحّد بين الأنظمة (SSO).
IAM: إدارة المستخدمين والأدوار والصلاحيات.
PAM: حماية وضبط الحسابات الإدارية الحساسة.
CASB: رقابة وسياسات على تطبيقات السحابة (SaaS) ومنع تسرب البيانات (DLP).
الخلاصة: الهدف أن تكون “الهوية + الوصول” تحت تحكم موحّد وقابل للتدقيق، لا مجرد تسجيل دخول.

ما معنى Zero Trust وكيف يظهر داخل العمارة؟

Zero Trust يعني “عدم افتراض الثقة مسبقًا” لمجرد أن المستخدم أو الجهاز داخل الشبكة. كل طلب وصول يُعامل كأنه قادم من بيئة غير موثوقة: يُتحقق من الهوية والسياق والجهاز والسياسة، ويُمنح أقل قدر من الصلاحية، مع تسجيل ومراقبة مستمرين.

ترجمة عملية: Zero Trust ليس برنامجًا واحدًا؛ هو تركيب من: IAM/PAM + MFA/Conditional Access + تقسيم شبكة + حماية بيانات + سجلات ومراقبة.

مخرجات قابلة للتنفيذ (Deliverables) وبنود قياس

لكي لا تبقى العمارة “خطابًا”، اربط كل محور بمخرجات يجب أن تكون موجودة وقابلة للقياس بالأدلة:

Crypto: سياسة تشفير + سياسة مفاتيح + PKI + ضوابط تخزين مفاتيح (HSM/Key Vault).
Hardening: Baselines + Golden Images + قياس انحراف الإعدادات (Configuration Drift).
Secure SDLC: سياسة SSDF/Secure SDLC + نمذجة تهديدات + بوابات فحص داخل CI/CD.
Network Design: خرائط مناطق/ثقة + مصفوفة اتصالات مسموحة + مراجعات قواعد العبور.
Data Protection: تصنيف + DLP + احتفاظ/نسخ احتياطي/استعادة + ضوابط مشاركة.
Cloud Security: Landing Zone + IAM/KMS + سجلات مركزية + CSPM.
Access Control: مصفوفة صلاحيات + MFA + وصول مشروط + PAM + مراجعات صلاحيات دورية.
Security Engineering: متطلبات + مراجعات تصميم + سجل قرارات + قبول مخاطر موثّق.

سؤال تدقيقي بسيط: عندما نقول “هذه المخرجات موجودة”، هل تستطيع المؤسسة أن تُثبت ذلك بأدلة ملموسة مثل: Policy/Standard (سياسات ومعايير مكتوبة)، Architecture/Design (تصاميم وخرائط ومصفوفات صلاحيات)، Configuration (إعدادات مطبّقة فعليًا في الأنظمة/السحابة)، وLogs/Reports (سجلات وتقارير قياس تُظهر أنها تعمل وتُراجع دوريًا)؟

إذا كانت الإجابة نعم: فالعمارة بدأت تعمل لأن الضوابط “موجودة ومُثبتة”. إذا كانت الإجابة لا: فشراء أي منصة تشغيل لاحقًا سيجعلها تراقب بيئة غير منضبطة بدل أن تحميها.

الخلاصة

عمارة الأمن هي “الهندسة التي تمنع المشاكل قبل وقوعها”. عندما تُضبط الهوية والصلاحيات والتشفير وخطوط الأساس وتقسيم الشبكة والسحابة والبيانات والهندسة الأمنية، تصبح المؤسسة أقل قابلية للاختراق، وأكثر قدرة على الاحتواء، وأسهل في التدقيق والقياس.

جملة الحلقة: التشغيل يكتشف ويستجيب… لكن العمارة تمنع أن يصبح الاختراق “حدثًا متكررًا” داخل بيئتك.

المصادر والمراجع

[1] NIST — SP 800-207: Zero Trust Architecture. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-207.pdf
[2] NIST — SP 800-57 Part 1 Rev.5: Recommendation for Key Management. https://csrc.nist.gov/pubs/sp/800/57/pt1/r5/final
[3] NIST — SP 800-218: Secure Software Development Framework (SSDF). https://csrc.nist.gov/pubs/sp/800/218/final
[4] CIS — CIS Benchmarks. https://www.cisecurity.org/cis-benchmarks
[5] Cloud Security Alliance — Cloud Controls Matrix (CCM). https://cloudsecurityalliance.org/research/cloud-controls-matrix

تم اختيار هذه المراجع لتغطية: Zero Trust، إدارة المفاتيح، إطار تطوير برمجيات آمن، خطوط الأساس، وضوابط السحابة—وهي أعمدة محاور عمارة الأمن في هذه الورقة المرجعية.