Si hubicas la base de datos fuera del wwwroot creo que basta...porque el IIS permite...definir donde es el lado público y donde comienza el lado privado de tu web...

ahora tambien puedes aplicar seguridad con algo tan simple...


Ejemplo

<% if session("seguridad") = "algo" then %>

<html>

</html>


<% else

response.redirect"index.asp"

end if %>


deben haber otras formas de asegurar tus páginas pero son las dos que conozco...