现在的情况：

我目前在一家医院工作，并且随着通过 USB 驱动器传播的勒索软件等的危险不断上升，我们决定通过 Symantec Endpoint Protection 阻止所有 USB 端口（仅限 600 个客户端/Windows）。这种阻塞可以确定设备是否是 HID 设备（我们使用智能卡键盘、指纹鼠标和录音机，它们在这些设备需要工作的关键区域依赖 USB，输入设备（如普通鼠标和键盘）大多是PS/2) 或存储设备。如果它不是 HID 设备，则端口会被锁定。您还可以在绝对必要的情况下为某些用户/计算机授予 USB 权限（管理员 PC、技术人员 PC 等）

当前问题：

用户（医生、管理人员）带着他们的私人 USB 棒来导入数据，如医学研究、演示文稿、图片等，并希望将它们导入系统是一种常见的做法（简单地说“不”不是一种选择不幸的是）这显然是一个相当大的安全风险

当前解决方案：

有一台特定的计算机位于完全分离的网络中，用户将驱动器放入其中并由 SEP 扫描，如果检查结果正常，管理员将驱动器放入他的PC（！）并将文件复制到网络共享用户需要。显然这也不是很安全，不仅我们仅依靠 SEP 进行保护，而且这种方法容易受到 BadUSB 攻击等。

我想做的事

为了安全地集成这些外国 U 盘，我想到了不同方法的组合：

第 1 步 用户必须亲自前往使用 Raspberry Pi 的一级支持员工（锁定在具有高安全性锁的盒子中，只有 IT 管理职位可以访问密钥），其中 CIRClean，（ https:// github.com/CIRCL/Circlean）由卢森堡政府制造的开源“USB Sanitizer”将运行，USB 端口放置在盒子的外部。这个 Raspberry Pi 发行版应该从“危险”的东西中删除所有文件，例如 Word/Excel 文件中的 Makros 或将 PDF 文件转换为 HTML（并删除可能嵌入的 Javascript），并将这些“清理过的”文件复制到另一个现在被认为“可能安全”的 USB 驱动器.

在此步骤之后，用户可以收回他的驱动器，并由一级支持者完成进一步的工作步骤。第一步应该摆脱更多“简单”的攻击，例如 BadUSB、makro-viruses 等。

步骤 2 (AirGap1)

第一级支持者将“可能安全”的 USB 记忆棒连接到运行 Qubes-OS ( https://www.qubes-os.org ) 的机器上，该机器被配置为 USB 控制器是一个单独的虚拟机。然后，本机将使用各种不同的防病毒应用程序自动检查 USB 驱动器。这应该允许我们检查更复杂的攻击，例如良好编程的 Rootkit。在运行各种 AV-Check 的自动化脚本之后，第一级支持者使用现在“已知”的安全 USB 记忆棒并到达第三台机器

步骤 3 (AirGap2)

这台机器是医院网络中的普通 Windows PC，安装 SEP 并在驱动器安装之前对驱动器执行另一次安全检查，之后员工只需将文件拖到用户想要它们的目标并完成。

为什么我在这里

不幸的是，CIRCLean 听起来像是一个简洁的工具，但我找不到一个可以正常运行的版本（我并不孤单，我不能发布超过 2 个链接，但只需查看 Git 上的问题）。

因此，在所有这些背景故事之后，我的问题在哪里：

如何确保外国 USB 驱动器是安全的？我的方法有什么好处吗？如果是这样，您将如何“切换”不工作的 CIRClean 部分？