A. 使用3DES算法对全表数据加密，密钥每季度轮换一次，查询时解密所有数据在内存中过滤

✅ B. 使用AES-256-GCM对敏感列加密，保留格式不变（如保留信用卡前6后4位），并对常查询字段建立密文索引

C. 使用非对称加密算法RSA-2048加密所有数据，私钥离线存储，应用端每次查询都调用公钥解密

D. 使用MD5哈希对敏感字段做单向脱敏，替代加密存储，查询时直接匹配哈希值

答案解析

A选项错误，3DES已不符合当前安全标准且存在碰撞风险，全表解密性能极差；B选项正确，AES-256-GCM是NIST推荐的对称加密算法，兼顾安全性与性能，保留格式和密文索引是行业实践；C选项错误，RSA加密大字段效率低，不适合数据库级别批量加密；D选项错误，MD5不可逆且易受彩虹表攻击，无法实现脱敏后的精确查询，不符合数据加密保护要求。

相关法规：《数据安全法》第二十一条