Podrías solucionarlo simplemente con un .htacces

Con PHP y Cold Fusion se puede llamar a un archivo mediante el sistema de archivos. Supongo que con ASP también, pero no conozco la sintaxis

La idea general sería ubicar los archivos fuera del scope de la web (en un directorio no accesible vía web), y crear un ASP (con la protección necesaria) que luego presenta el archivo que recupera utilizando la dirección del archivo.

Si has comprendido lo que quiero decir, igual puedes encontrarlo referenciado en algún sitio.