Buenas,

lo mejor sería crear una zona restringida por medio de la seguridad de carpetas (si tu servidor lo permite) Así los ficheros estarían seguros incluso si alguien llegase a adivinar la ruta. Despues, la asignación de los ficheros a cada usuario podrías hacerlo mediante una base de datos o con subcarpetas para cada usuario.

También puedes hacer un control de acceso en ASP y colocar los ficheros en una carpeta fuera del sitio web (por debajo del wwwroot o a su misma altura) y servir los ficheros con un binarywrite.