某信息系统在“网络和通信安全”层面对接入的用户设备进行了身份鉴别，但“应用和数据安全”未对用户进行身份鉴别，而是直接使用了“网络和通信安全”层面的“身份鉴别”结果，默认接入的用户可以登录应用。因此，按照《信息系统密码应用高风险判定指引》，“身份鉴别”指标的风险可以进行适当降低；如果风险降为“低”，则该指标结果可以弥补为“符合”。

解析： 本题考查的是《信息系统密码应用高风险判定指引》中关于“身份鉴别”指标在不同安全层面的要求，以及跨层面共用身份鉴别结果是否能够降低风险的判断。 根据《信息系统密码应用高风险判定指引》的相关规定，“身份鉴别”作为密码应用的重要控制点，需在各个安全层面（如网络和通信安全、应用和数据安全等）独立进行评估。即使在网络和通信安全层面已完成身份鉴别，也不能直接默认该结果适用于应用和数据安全层面。 核心知识点如下： 1. **分层防护原则**： 信息系统安全采用分层防护策略。网络和通信安全层面的身份鉴别主要保障传输通道的安全接入，防止非法设备接入网络；而应用和数据安全层面的身份鉴别则是为了确保用户在访问具体业务系统或敏感数据时的身份合法性。两者目标不同，不能相互替代。 2. **身份鉴别的独立性要求**： 在应用和数据安全层面，必须对登录用户进行独立的身份鉴别，不能仅依赖网络层的鉴别结果。否则，一旦网络层被绕过或存在漏洞，应用系统将面临未授权访问的高风险。 3. **高风险判定规则**： 根据《信息系统密码应用高风险判定指引》，若在应用和数据安全层面未实现身份鉴别，则属于“身份鉴别”控制点缺失，应判定为高风险。该高风险不能因网络层已实施身份鉴别而自动降低。 4. **风险不可随意降低**： 风险等级的调整必须基于充分的技术依据和合规性评估，不能主观“适当降低”。只有当所有层面均满足相应安全要求时，才可判定为“符合”。 因此，题干中所述“直接使用网络层身份鉴别结果，默认用户可登录应用”，导致应用和数据安全层面缺乏独立的身份鉴别机制，违反了基本的安全设计原则，应判定为高风险，不能通过简单引用其他层面的结果来规避。 结论： 题干认为可以因此降低风险并弥补为“符合”，这一说法错误。 正确答案：B（错误）