вы можете использовать переменные сеанса для хранения уровня пользователя, а затем в коде asp определить, что пользователь может или не может видеть.
Или в базе данных, я полагаю, у вас есть поле, где также определяется уровень доступа.
По сути, сделайте свой уровень безопасности частью SQL-запроса и покажите, что только данные должны видеть пользователи.
В основном вы должны иметь уровень доступа в базе данных, проверять учетные данные на странице входа в систему, а затем сохранять уровень пользователя в переменной сеанса.
На любой странице при загрузке заголовка ASP получает переменную сеанса и сравнивает ее с базой данных.
Если у пользователя есть разрешение на просмотр этих данных, он, если нет - отобразит сообщение о том, что он не авторизован, или перенаправит куда-то еще, где он может быть.